Windows Server 2012 DRA-Konto (Data Recovery Agent) kann Dateien nicht entschlüsseln

654
Maneesh Parihar

Ich habe einen Windows Server 2012 R2, Hyper V VM, der als Domänencontroller fungiert (für Domäne parihar.local). Ich richte EFS (Encrypted File System) gleich ein und habe ein sehr spezifisches Problem mit DRA-Konten (Data Recovery Agents).

Ich benutze hier 3 Benutzer, um mich anzumelden und das Funktionieren des EFS zu testen. 3 Benutzer sind Administrator, Maneesh1, Deepak. Ich habe die Standarddomänenrichtlinie eingerichtet, um Zertifikate von Administrator und Maneesh1 als DRA-Konten (Data Recovery Agents) hinzuzufügen.

Ich erstelle und verschlüssele eine Klartextdatei mit einem Deepak-Konto und verschlüssele diese dann. Die Verschlüsselungsdetails zeigen Administrator und Maneesh1 als DRAs an. Ich melde mich von der VM ab. Wenn ich mich bei einem Administratorkonto anmelde, kann ich auf die Dateien zugreifen, die DRA sind, und ich kann sogar die gleichen Dateien entschlüsseln.

Wenn ich mich jedoch beim Konto maneesh1 anmelde, kann ich die Datei nicht mithilfe des Chiffrierbefehls oder Explorers öffnen oder entschlüsseln.

Ich verwende selbstsignierte Zertifikate und habe die Zertifikatabdrücke des DRA der Textdatei mithilfe von Verschlüsselungsbefehlen überprüft. Die Zertifikate mit dem gleichen Fingerabdruck sind bereits installiert.

Helfen Sie bitte zu verstehen, warum das zweite DRA-Konto von maneesh1 nicht in der Lage ist, auf die verschlüsselte Datei zuzugreifen und diese zu entschlüsseln.

Vielen Dank. Lassen Sie mich wissen, wenn Sie zusätzliche Informationen benötigen. Kann nicht mehr als 2 Bilder anhängen, wird während der Antworten mehr versucht und freigegeben, wenn die Site dies zulässt.

enter image description here enter image description here

0
"Ich erstelle und verschlüssele eine Klartextdatei mit einem Deepak-Konto und verschlüssele sie dann." - Dieser Satz ist verwirrend Ramhound vor 6 Jahren 1
Entschuldigung für die Verwirrung ... es sollte lesen "Ich erstelle eine Klartextdatei mit Deepak-Konto und verschlüssele dann dasselbe" .. im Grunde habe ich eine Textdatei erstellt, die geöffnet wurde, und schrieb Beispieltext; gespeichert und geschlossen. Dann verschlüsselt mit Rechtsklick> Eigenschaften> Erweitert> Verschlüsseln. Hoffe es klärt.Tx Maneesh Parihar vor 6 Jahren 0

1 Antwort auf die Frage

0
Maneesh Parihar

Mir wurde klar, was schief lief. Ich habe nur die cert-Datei für das DRA-Benutzerkonto importiert. und die pfx-Datei, die auch den privaten Schlüssel enthielt, der erforderlich war, damit der DRA den verschlüsselten Inhalt entschlüsseln konnte.

Einmal erkannte ich das Problem. Dann habe ich die ganze Sache redidiert. Verwendeter Cipher / R: -Befehl zum Exportieren der cert- und pfx-Schlüssel (Wiederherstellungsschlüssel). Anschließend wurde die pfx-Datei (mit privatem Schlüssel) im Konto des DRA importiert / installiert, und der DRA-Benutzer konnte auf alle verschlüsselten Inhalte zugreifen. Der Fehler war also nur der Import der cert-Datei und nicht des gesamten pfx-Pakets mit privatem Schlüssel. Ich hoffe, es kann jemandem helfen, sich mit dem Problem zu beschäftigen.

Der DRA wird nur mit dem Zertifikatsschlüssel hinzugefügt (in Gruppenrichtlinie), aber während der Entschlüsselung wird auf jeden Fall das pfx-Paket importiert oder im DRA-Konto installiert sein.

Verwandte Probleme