Gunnar-hro 10 Geschrieben 30. Juli 2008 Melden Teilen Geschrieben 30. Juli 2008 Hallo, ich habe das Problem, dass keiner in der Domäne Daten verschlüsseln kann. Habe viel gesucht und bin unter Domänen-Policy->Computerkonfiguration --> Windowseinstellungen --> Sicherheitseinstellungen --> "Richtlinien öffentlicher Schlüssel" --> "Agent für Wiederherstellung von verschlüsselten Daten" fündig geworden, das Zertifikat ist 2007 abgelaufen. Habe mit dem Kommando Cipher /r ein neues Zertifikat erstellt und dort für den Administrator importiert. Nun ist es bis 2108 gültig. Aber ich kann immer noch keine NTFS Verschlüsselung vornehmen. Weiß jemand eine Lösung für das Problem? Hier gibts ja eine Threads, aber mehr als irgendwelche Abkürzungen kann man dem auch nicht entnehmen. Anbei noch ein Screenshot von der Fehlermeldung. Zitieren Link zu diesem Kommentar
Lian 2.424 Geschrieben 30. Juli 2008 Melden Teilen Geschrieben 30. Juli 2008 Bitte die Fehlermeldung abtippen... Zitieren Link zu diesem Kommentar
Gunnar-hro 10 Geschrieben 30. Juli 2008 Autor Melden Teilen Geschrieben 30. Juli 2008 So, Screenshot nun wirklich hier: Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 30. Juli 2008 Melden Teilen Geschrieben 30. Juli 2008 So, Screenshot nun wirklich hier: Hi, ... der Tipp von Lian hatte schon seine Gründe. Der nächste der nach der Fehlermeldung sucht wird diese nämlich wieder nicht finden - weil Bildschirmdrucke (die auch noch extern liegen) nicht durchsucht werden können. P. S. Sind die neuen GPO's schon an die Clients verteilt worden? Zitieren Link zu diesem Kommentar
Gunnar-hro 10 Geschrieben 30. Juli 2008 Autor Melden Teilen Geschrieben 30. Juli 2008 Sorry, dachte beim Uploaden ging was schief und deswegen sollte ich es abtippen....:D Fehlermeldung: Beim Übernehmen der Attribute für die Datei ist ein Fehler aufgetreten: C:\test.txt Die Wiederherstellungsrichtlinie für diesen Computer enthält ein ungültiges Wiederherstellungszertifikat. Habe auf dem DC (erster der Domäne), wo ich das Zertifikat auch erneuert habe, diesen Test mit der Textdatei durchgeführt. gpupdate /force habe ich darauf hin durchgeführt, ohne Erfolg :( Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 30. Juli 2008 Melden Teilen Geschrieben 30. Juli 2008 Hi, was noch wichtig wäre auf welchem client versuchst du die Verschlüsselung zu verwenden (win2k, xp, vista)? Welche sonstigen Einstellungen hast du in Bezug auf EFS via GPO verteilt? Viele Grüße Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. Juli 2008 Melden Teilen Geschrieben 30. Juli 2008 Hi Gunnar, Habe mit dem Kommando Cipher /r ein neues Zertifikat erstellt und dort für den Administrator importiert. Nun ist es bis 2108 gültig. Aber ich kann immer noch keine NTFS Verschlüsselung vornehmen. Was heißt das "Du hast das Zertifikat für den Administrator dort importiert"? Wohin hast Du es importiert? In die Default Domain Policy oder an anderer Stelle? Viele Grüße olc Zitieren Link zu diesem Kommentar
Gunnar-hro 10 Geschrieben 31. Juli 2008 Autor Melden Teilen Geschrieben 31. Juli 2008 Die Verschlüsselung teste ich auf dem ersten Domänencontroller, Windows Server 2003. Das Zertifikat habe ich manuell so importiert, dass ich den Datenwiederherstellungs-Agenten in der Default Domain Policy erstellen konnte. Davor hat Windows rumort, dass der Benutzer wegen fehlender Zertifikate nicht dafür geeignet sei. Was mich wundert, dass nun dort der Administrator mit kleinem "a" drin steht. Der abgelaufene Administratoreintrag steht dort mit großen A, ist dort auch etwas case sensitiv? Weitere Einstellungen in der /anderen GPOs bezüglich EFS wurden nicht gemacht. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 31. Juli 2008 Melden Teilen Geschrieben 31. Juli 2008 Hi Gunnar, liest sich so, als ob Du das alte DRA Zertifikat zusätzlich zum alten Zertifikat in der GPO behalten hättest. Das solltest Du ändern ;) - solange das abgelaufene DRA Zertifikat in der GPO hängt, wirst Du nicht verschlüsseln können. Das abgelaufene Zertifikat im Userstore des Administrators auf dem DC inkl. des privaten Schlüssels solltest Du sichern, sollte das noch nicht passiert sein. Viele Grüße olc Zitieren Link zu diesem Kommentar
Gunnar-hro 10 Geschrieben 1. August 2008 Autor Melden Teilen Geschrieben 1. August 2008 Super, danke OLC, mit dem Tipp konnte ich das Problem lösen. Ich dachte, der Server sucht sich einen gültigen Benutzer heraus und nimmt sich diesen dann auch, aber ist scheinbar nicht so. Wenn das Zertifikat abgelaufen ist, muss man den Agenten dann auch löschen, damit man nicht den gleichen Fehler bekommt. Ein aktuelles Zertifikat habe ich mit dem Kommandozeilentool Cipher /r generiert und importiert, in welchem Speicher weiß ich nicht mehr genau, ansonsten so lange probieren, bis man unter Domänen-Policy->Computerkonfiguration --> Windowseinstellungen --> Sicherheitseinstellungen --> "Richtlinien öffentlicher Schlüssel" --> "Agent für Wiederherstellung von verschlüsselten Daten" den Administrator wieder als Wiederherstellungsagenten erstellen kann. Danach GPUPDATE /Force und dann sollte es wieder laufen. Danke euch! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.