Arbeitsordner - Problem mit Verschlüsselung
Hallo zusammen,
bin grade dran mich mit dem Thema "Workfolder/Arbeitsordner" zu beschäftigen.
Habe jetzt soweit das auch alles eingerichtet und es funktioniert auch soweit.
Nur wenn ich auf dem Server den Haken setze "Arbeitsordner verschlüsseln", funktioniert die Synchronisierung nicht mehr. Auch wenn ich die Arbeitsordner auf dem Client frisch einrichte mit auf dem Server aktivierter Verschlüsselung, erscheint im "Arbeitsordner-Center" auf dem Client "Die Synchronisierung wurde angehalten. Dateien können..."
Woran kann das liegen?
Vielen Dank schonmal
Server: 2012R2
Client: Windows 10 Pro 1909
bin grade dran mich mit dem Thema "Workfolder/Arbeitsordner" zu beschäftigen.
Habe jetzt soweit das auch alles eingerichtet und es funktioniert auch soweit.
Nur wenn ich auf dem Server den Haken setze "Arbeitsordner verschlüsseln", funktioniert die Synchronisierung nicht mehr. Auch wenn ich die Arbeitsordner auf dem Client frisch einrichte mit auf dem Server aktivierter Verschlüsselung, erscheint im "Arbeitsordner-Center" auf dem Client "Die Synchronisierung wurde angehalten. Dateien können..."
Woran kann das liegen?
Vielen Dank schonmal
Server: 2012R2
Client: Windows 10 Pro 1909
Please also mark the comments that contributed to the solution of the article
Content-Key: 517560
Url: https://administrator.de/contentid/517560
Printed on: April 24, 2024 at 07:04 o'clock
4 Comments
Latest comment
Zitat von @Mister-M:
Wir haben ein AD, aber bisher noch keine PKI im Einsatz- so wei ich das gelesen habe, benötigt man aber eine PKI wenn man EFS einsetzen will.
Nein, es ist definitiv keine PKI erforderlich ! Das funktioniert so:Wir haben ein AD, aber bisher noch keine PKI im Einsatz- so wei ich das gelesen habe, benötigt man aber eine PKI wenn man EFS einsetzen will.
Der Enryption Key für die Daten die verschlüsselt im Offline-Files-Cache auf dem Client landen, wird im persönlichen Credential Manager auf dem Client gespeichert. Befindet man sich in einer Domain kommt zusätzlich der DRA (Data Recovery Agent) zum Einsatz damit im Fall der Fälle aus den Offline-Cache Daten auch von einem Domain-Admin extrahiert werden können.
Kannst du alles hier im Topic Encryption under the cover nachlesen:
https://techcommunity.microsoft.com/t5/Storage-at-Microsoft/Work-Folders ...
Encryption under the cover
The encryption technology that Work Folders leverages on Windows to protect the data is called “ Selective Wipe ” [1] . At a high level, the encryption uses a key which is associated an Enterprise ID (EID), which is the company’s top-level domain (for example contoso.com). The selective-wipe encryption mechanism is very similar to EFS, but a major difference is that it is non-PKI based. The encryption key is stored in the Windows Vault (a.k.a. Credentials Manager), which is not stored in Active Directory as part of the users’ profile, and windows does not offer a backup mechanism for it (the built-in credentials manager backup mechanism doesn’t backup that key as part of the backup process). One potential mitigation comes from the fact that when a device is domain-joined (note that this is different than “Workplace joined”), the EID encryption will use both the EID key on the user device and the domain’s Data Recovery Agent (DRA) key. This will allow an enterprise administrator to decrypt the files in case of the key revocation or loss on the domain joined devices.
How can a file be encrypted and decrypted with both the user’s key and the DRA?
The answer to this is in the basic design of the Windows Encrypting File System (EFS). EFS doesn’t encrypt the file using the user’s key but using a unique and random key generated specifically for each and every file EFS has to encrypt. The file’s key is then encrypted using the user’s key and attached to the file. If the device is domain-joined, the file’s key is then encrypted once again, this time using the DRA, and also attached to the file.
When it’s time to decrypt the file, if it’s the user who is decrypting, then EFS decrypts the file key that was encrypted with the user’s key, and if it’s the DRA, then the file key that was encrypted with the DRA is decrypted.
Woran kann das liegen?
Ich tippe auf korrupte Offline-File-Storage oder Probleme mit dem Credential Manager. Deaktiviere die Arbeitsordner mal, lösche den Offline-Files-Cache, lösche alle Credentials im Credential Manager und richte die Arbeitsordner neu ein.Die Wiederherstellungsrichtlinie für diesen Computer enthält ein ungültiges Wiederherstellungszertifikat.
Na die Fehlermeldung spricht doch für sich selbst ... ist ja beides EFS.
Nicht ganz.