Jump to content

2k3 - Verschlüsselung in der Domäne nicht mehr möglich


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe das Problem, dass keiner in der Domäne Daten verschlüsseln kann. Habe viel gesucht und bin unter Domänen-Policy->Computerkonfiguration --> Windowseinstellungen --> Sicherheitseinstellungen --> "Richtlinien öffentlicher Schlüssel" --> "Agent für Wiederherstellung von verschlüsselten Daten" fündig geworden, das Zertifikat ist 2007 abgelaufen. Habe mit dem Kommando Cipher /r ein neues Zertifikat erstellt und dort für den Administrator importiert. Nun ist es bis 2108 gültig. Aber ich kann immer noch keine NTFS Verschlüsselung vornehmen.

Weiß jemand eine Lösung für das Problem? Hier gibts ja eine Threads, aber mehr als irgendwelche Abkürzungen kann man dem auch nicht entnehmen.

Anbei noch ein Screenshot von der Fehlermeldung.

Link zu diesem Kommentar

Sorry, dachte beim Uploaden ging was schief und deswegen sollte ich es abtippen....:D

 

Fehlermeldung:

Beim Übernehmen der Attribute für die Datei ist ein Fehler aufgetreten:

C:\test.txt

Die Wiederherstellungsrichtlinie für diesen Computer enthält ein ungültiges Wiederherstellungszertifikat.

 

Habe auf dem DC (erster der Domäne), wo ich das Zertifikat auch erneuert habe, diesen Test mit der Textdatei durchgeführt. gpupdate /force habe ich darauf hin durchgeführt, ohne Erfolg :(

Link zu diesem Kommentar

Hi Gunnar,

 

Habe mit dem Kommando Cipher /r ein neues Zertifikat erstellt und dort für den Administrator importiert. Nun ist es bis 2108 gültig. Aber ich kann immer noch keine NTFS Verschlüsselung vornehmen.

 

Was heißt das "Du hast das Zertifikat für den Administrator dort importiert"? Wohin hast Du es importiert? In die Default Domain Policy oder an anderer Stelle?

 

Viele Grüße

olc

Link zu diesem Kommentar

Die Verschlüsselung teste ich auf dem ersten Domänencontroller, Windows Server 2003.

Das Zertifikat habe ich manuell so importiert, dass ich den Datenwiederherstellungs-Agenten in der Default Domain Policy erstellen konnte. Davor hat Windows rumort, dass der Benutzer wegen fehlender Zertifikate nicht dafür geeignet sei. Was mich wundert, dass nun dort der Administrator mit kleinem "a" drin steht. Der abgelaufene Administratoreintrag steht dort mit großen A, ist dort auch etwas case sensitiv?

Weitere Einstellungen in der /anderen GPOs bezüglich EFS wurden nicht gemacht.

Link zu diesem Kommentar

Hi Gunnar,

 

liest sich so, als ob Du das alte DRA Zertifikat zusätzlich zum alten Zertifikat in der GPO behalten hättest. Das solltest Du ändern ;) - solange das abgelaufene DRA Zertifikat in der GPO hängt, wirst Du nicht verschlüsseln können.

 

Das abgelaufene Zertifikat im Userstore des Administrators auf dem DC inkl. des privaten Schlüssels solltest Du sichern, sollte das noch nicht passiert sein.

 

Viele Grüße

olc

Link zu diesem Kommentar

Super, danke OLC, mit dem Tipp konnte ich das Problem lösen.

Ich dachte, der Server sucht sich einen gültigen Benutzer heraus und nimmt sich diesen dann auch, aber ist scheinbar nicht so.

Wenn das Zertifikat abgelaufen ist, muss man den Agenten dann auch löschen, damit man nicht den gleichen Fehler bekommt.

Ein aktuelles Zertifikat habe ich mit dem Kommandozeilentool Cipher /r generiert und importiert, in welchem Speicher weiß ich nicht mehr genau, ansonsten so lange probieren, bis man unter Domänen-Policy->Computerkonfiguration --> Windowseinstellungen --> Sicherheitseinstellungen --> "Richtlinien öffentlicher Schlüssel" --> "Agent für Wiederherstellung von verschlüsselten Daten" den Administrator wieder als Wiederherstellungsagenten erstellen kann. Danach GPUPDATE /Force und dann sollte es wieder laufen.

 

Danke euch!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...