Arbeitsordner - Problem mit Verschlüsselung

Hallo zusammen,
bin grade dran mich mit dem Thema "Workfolder/Arbeitsordner" zu beschäftigen.
Habe jetzt soweit das auch alles eingerichtet und es funktioniert auch soweit.
Nur wenn ich auf dem Server den Haken setze "Arbeitsordner verschlüsseln", funktioniert die Synchronisierung nicht mehr. Auch wenn ich die Arbeitsordner auf dem Client frisch einrichte mit auf dem Server aktivierter Verschlüsselung, erscheint im "Arbeitsordner-Center" auf dem Client "Die Synchronisierung wurde angehalten. Dateien können..."

Woran kann das liegen?

Vielen Dank schonmal

Server: 2012R2
Client: Windows 10 Pro 1909

Member: Mister-M
Mister-M Nov 21, 2019 at 16:10:29 (UTC)
Ich glaube ich hab das Problem gefunden, nicht gelöst.
Wir haben ein AD, aber bisher noch keine PKI im Einsatz- so wei ich das gelesen habe, benötigt man aber eine PKI wenn man EFS einsetzen will. Ich schätze das ist hier der Fall wenn der Haken bei Verschlüsselung gesetzt ist...

Ansonsten bin ich für Vorschläge gerne offen....
Mitglied: 141965
141965 Nov 21, 2019 updated at 17:19:18 (UTC)
Zitat von @Mister-M:
Wir haben ein AD, aber bisher noch keine PKI im Einsatz- so wei ich das gelesen habe, benötigt man aber eine PKI wenn man EFS einsetzen will.
Nein, es ist definitiv keine PKI erforderlich ! Das funktioniert so:
Der Enryption Key für die Daten die verschlüsselt im Offline-Files-Cache auf dem Client landen, wird im persönlichen Credential Manager auf dem Client gespeichert. Befindet man sich in einer Domain kommt zusätzlich der DRA (Data Recovery Agent) zum Einsatz damit im Fall der Fälle aus den Offline-Cache Daten auch von einem Domain-Admin extrahiert werden können.
Kannst du alles hier im Topic Encryption under the cover nachlesen:
https://techcommunity.microsoft.com/t5/Storage-at-Microsoft/Work-Folders ...
 Encryption under the cover

The encryption technology that Work Folders leverages on Windows to protect the data is called “ Selective Wipe ” [1] . At a high level, the encryption uses a key which is associated an Enterprise ID (EID), which is the company’s top-level domain (for example contoso.com). The selective-wipe encryption mechanism is very similar to EFS, but a major difference is that it is non-PKI based. The encryption key is stored in the Windows Vault (a.k.a. Credentials Manager), which is not stored in Active Directory as part of the users’ profile, and windows does not offer a backup mechanism for it (the built-in credentials manager backup mechanism doesn’t backup that key as part of the backup process). One potential mitigation comes from the fact that when a device is domain-joined (note that this is different than “Workplace joined”), the EID encryption will use both the EID key on the user device and the domain’s Data Recovery Agent (DRA) key. This will allow an enterprise administrator to decrypt the files in case of the key revocation or loss on the domain joined devices.

How can a file be encrypted and decrypted with both the user’s key and the DRA?

The answer to this is in the basic design of the Windows Encrypting File System (EFS). EFS doesn’t encrypt the file using the user’s key but using a unique and random key generated specifically for each and every file EFS has to encrypt. The file’s key is then encrypted using the user’s key and attached to the file. If the device is domain-joined, the file’s key is then encrypted once again, this time using the DRA, and also attached to the file.

When it’s time to decrypt the file, if it’s the user who is decrypting, then EFS decrypts the file key that was encrypted with the user’s key, and if it’s the DRA, then the file key that was encrypted with the DRA is decrypted. 

Woran kann das liegen?
Ich tippe auf korrupte Offline-File-Storage oder Probleme mit dem Credential Manager. Deaktiviere die Arbeitsordner mal, lösche den Offline-Files-Cache, lösche alle Credentials im Credential Manager und richte die Arbeitsordner neu ein.
Member: Mister-M
Mister-M Nov 22, 2019 at 10:51:11 (UTC)
Hallo voucher,
Danke erstmal für die Antwort.
ich habe die Arbeitsordner gelöscht, Credential Manager geleert, hat aber nix gebracht.
Was allerdings auch nicht geht, unabhängig von den Arbeitsordnern, ist das verschlüsseln eines Ordners per rechten Mausklick. Ich vermute, wenn das Problem gelöst ist, funktioniert auch die Verschlüsselung der Arbeitsordner, ist ja beides EFS.
Versuche ich einen Ordner zu verschlüsseln erscheint folgender Fehler: "Beim Übernehmen der Attribute für die Datei ist ein Fehler aufgetreten. Die Wiederherstellungsrichtlinie für diesen Computer enthält ein ungültiges Wiederherstellungszertifikat".

2019-11-22 11_42_50-lokaler datenträger (c_)
Mitglied: 141965
141965 Nov 22, 2019 updated at 12:47:41 (UTC)
Die Wiederherstellungsrichtlinie für diesen Computer enthält ein ungültiges Wiederherstellungszertifikat.
Na die Fehlermeldung spricht doch für sich selbst ...
ist ja beides EFS.
Nicht ganz.