Jump to content

EFS mit Credential Roaming


Direkt zur Lösung Gelöst von Alitai,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen

 

Ich richte gerade EFS ein und bin etwas erstaunt über das Verhalten.

 

Ich habe mir ein EFS Basis Zertifikat auf dem Client ausgestellt (Privater Schlüssel exportierbar)

Credential Roaming ist aktiviert und im AD sind die richtigen Einträge vorhanden.

 

Nun wird für jeden Server auf dem ich vom Client aus per Netzwerklaufwerk etwas verschlüssle ein neues Schlüsselpaar erstellt und im AD abgelegt (Habe nun 3 Zertifikate: 1 auf dem Client, 1 für Server 1 und 1 für Server 2).

 

1. Frage; Ist dies normal, EFS könnte ja auch einfach mein Zertifikat vom Client nehmen welches schon vorhanden ist?

2. Frage: Falls EFS tatsächlich mehrere Zertifikate ausstellt...

Wie komme ich nun an den Privaten Schlüssel der Zertifikate die direkt vom EFS im AD abgelegt werden (Die soll man ja auch sichern)? Nur werden die privaten Schlüssel nicht bei mir auf dem Client oder auf dem Server hinterlegt.

 

Windows Server 2016 und Windows 10 1803

 

Hoffe jemand kann mir erklären wie das funktioniert?

Freue mich auf Antworten.

 

Vielen Dank

 

Gruss

Alitai

bearbeitet von Alitai
Link zu diesem Kommentar

Hallo Alitai,

ich glaube das was du auf den Servern findest ist nur das entsprechende Zertifikat ohne Private Key.

Das "richtigte" ist das was du auf den Client findest und dort solltest du es auch exportieren können.

 

Kannst du es beim Client mit Private Key exportieren?

Hast du im Template auch die Option "Exportable Private Key" aktiviert?

 

Grüße

Alex

Link zu diesem Kommentar

Hallo Gipsy

 

Das Zertifikat mit dem die Datei Remote verschlüsselt wurde, hat einen anderen Fingerabdruck als meines auf dem Client.

Mein Zertifikat auf dem Client kann ich mit dem Privaten Schlüssel exportieren. Das Template ist dass normale "Basis-EFS" unverändert (Out of the Box).

 

Hier habe ich einen Hinweis zum Thema gefunden:

https://www.msxfaq.de/signcrypt/usercert.htm

Unter: Zertifikate beim Benutzer

So sieht es bei mir nämlich auch aus und auf jedem System wird ein anderes Zertifikat verwendet. Fragt sich ob dies richtig ist?

 

Während ich hier schreibe, ist mir in den Sinn gekommen, dass es die Kompatibilitätseinstellungen des "Basis-EFS" Templates sein könnten, die Probleme machen.

 

Was mir auch noch aufgefallen ist, ist dass die "Verschlüsslung!" nach einer gewissen Zeit nicht mehr funktioniert. Habe dazu auch einen Beitrag im Technet gefunden (Zwar für den Server 2008 aber ganz aktuell):

https://social.technet.microsoft.com/Forums/en-US/878e2cb5-e5aa-46e5-9a08-6fb94211dfab/efs-on-remote-file-share-issue?forum=winserversecurity

 

Ich werde mal das "EFS-Basis" Zertifikat ersetzen und nochmals Testen.

 

Irgendwie ist da gerade der Wurm drin.

Wir werden da aber schon noch eine Lösung finden.

 

Danke für die Antwort

 

Gruss

Alitai

bearbeitet von Alitai
Link zu diesem Kommentar

Hallo

 

Dass ersetzen des "Basis-EFS" Zertifikat hat das Problem, dass nicht mehr verschlüsselt werden konnte gelöst. Zumindest ist bis jetzt keine Fehlermeldung mehr aufgetreten.

 

Bleibt nur noch die Frage warum mir EFS trotz "Credential Roaming" mehrere Zertifikate ausstellt, obwohl doch schon ein EFS Zertifikat vorhanden ist?

Ist dies bei Design so? Kann da leider auch nichts im Internet finden.

 

Danke

 

Gruss

Alitai

bearbeitet von Alitai
Link zu diesem Kommentar
  • 4 Wochen später...
  • Beste Lösung

Hallo Zusammen

 

Ich konnte in der Zwischenzeit herausfinden woran es lag.

 

- Ohne CR oder RUP wird immer ein neues Zertifikat erstellt.

- Nur mit CR werden die Zertifikate nur aufs neue Profil übertragen, wenn man sich einloggt (Das EFS mini-Profil zieht die Zertifikate nicht aus dem AD).

- RUP zieht das Zertifikat aus dem Roaming Profile (Wird bei Clustern benötigt).

- Beides zusammen geht auch nicht.

 

Noch zur Info:

EFS mit Hyper-V funktioniert nicht (Egal ob auf dem Gast oder Host).

 

Somit geht nun alles.

 

Vielen Dank für die Hilfe.

 

Gruss

Alitai

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...