我们一直在尝试在我们的域名上设置EFS。 不幸的是,通过networking共享读取/写入文件不起作用,我们得到“访问被拒绝”错误。
另一个令人担忧的事实是,我设法让它工作的一台机器,但没有其他人会工作。
这些机器都是Windows 2008R2,在ESXi主机下作为VM运行。
根据: http : //technet.microsoft.com/en-us/library/bb457116.aspx#EHAA
我在registry中启用了Kerberos日志logging,这是我在具有encryption文件的机器上获得的相关日志。 为了使用户拥有的所有证书(仅密钥名称更改):
事件ID 5058:审核成功,“其他系统事件”
Key file operation. Subject: Security ID: {MyDOMAIN}\{MyID} Account Name: {MyID} Account Domain: {MyDOMAIN} Logon ID: 0xbXXXXXXX Cryptographic Parameters: Provider Name: Microsoft Software Key Storage Provider Algorithm Name: Not Available. Key Name: {CE885431-9B4F-47C2-8415-2D766B999999} Key Type: User key. Key File Operation Information: File Path: C:\Users\{MyID}\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4585646465656-260371901-2912106767-1207\66099999999991e891f187e791277da03d_dfe9ecd8-31c4-4b0f-9b57-6fd3cab90760 Operation: Read persisted key from file. Return Code: 0x0[/code] 事件ID 5061:审计Faillure,“系统整合”
[code]Cryptographic operation. Subject: Security ID: {MyDOMAIN}\{MyID} Account Name: {MyID} Account Domain: {MyDOMAIN} Logon ID: 0xbXXXXXXX Cryptographic Parameters: Provider Name: Microsoft Software Key Storage Provider Algorithm Name: RSA Key Name: {CE885431-9B4F-47C2-8415-2D766B999999} Key Type: User key. Cryptographic Operation: Operation: Open Key. Return Code: 0x8009000b
这可能与CryptAcquireContext函数中的这个错误有关
NTE_BAD_KEY_STATE 0x8009000BL The user password has changed since the private keys were encrypted.
问题是我目前使用的用户不能更改密码。
在与MS支持交谈之后。
文件共享必须使用IP地址而不是主机名来访问。
Instead of: \\{MyServerName}\C$\hahaFolder Use: \\{MyServerIP}\C$\hahaFolder
这将强制Kerberos身份validation踢…