[XP32/64] EFS over netwerk werkt niet - Windows clients

dinsdag 5 februari 2008 20:16

Acties:

Sandoichi

Topicstarter

Hoi,

Eens in de zoveel tijd heb ik problemen met EFS. Tot nu toe heb ik dan ten einde raad op een gegeven moment alle zooi op mijn HD's compleet gedecodeerd, Windows opnieuw geïnstalleerd en dezelfde zooi weer geëncodeerd. Met meerdere HDs (van medewerkers) krijg je dan toch weer een verzameling certificaten.

Nu heb ik echter gecodeerde bestanden die twee computers thuis kunnen lokaal lezen, maar over het netwerk bij elkaar niet. Dit was eerder wel het geval. Het betreft een XP SP2 32 en XP SP2 x64 machine. Die laatste heeft laatst een verse OS gekregen en uiteraard heb ik hier de nodige certificaten geïmporteerd.

Toen het niet werkte heb ik bij Management Console (mmc.exe), onder Certificaten - huidige gebruiker -> 'Persoonlijk' gewoon alles van beide computers met sleutel geëxporteerd en bij elkaar geïmporteerd en nog steeds kan ik bestanden van de ene computer op de ander niet openen.

Bij geavanceerde eigenschappen van gecodeerde bestanden kan je zien wat de vingerafdruk van het bijbehorende certificaat is en dat certificaat heb ik gewoon geinstalleerd. Toch kan ik geen bestanden openen of kopiëren via het netwerk. Zie onderstaande 'schema':
Afbeeldingslocatie: http://stuff.rednet.nl/rommel/EFS-Fail.png

Afbeeldingslocatie: http://stuff.rednet.nl/rommel/EFS-Fail.png

Dat de vingerafdruk qua hoofdletters (en spaties) niet identiek is maakt voor Windows niet uit, dat is altijd zo in die schermpjes.

Is er IETS wat EFS via het netwerk gebruikt wat ik over het hoofd zie? Een bepaalde poort of virusscanner of firewal of service die normaal bestandsverkeer wel toelaat maar EFSverkeer niet ofzo?

Ik snap er niets van.

🇪🇺 Buy from EU (GoT)

maandag 19 mei 2008 16:51

Acties:

Sando

Sandoichi

Topicstarter

Is er niemand die hier iets zinnigs over kan zeggen?

Ik heb inmiddels opnieuw XP Pro 64 met SP2 op de 64bit pc gezet, en XP Pro 32 met SP3 op de 32bit pc Beide geformatteerd. XP32 nieuwe mappen geEFSt en certificaat op de 64bit gezet.

Werkt nog steeds niet! Megavervelend bij synchen en remote-backuppen. Nu moet ik steeds met usb in de weer of decoderen/encoderen (duurt eeuwig) met als gevolg dat ik niet backupperig meer ben en ik handmatig (tijdrovend) sync via usb.

🇪🇺 Buy from EU (GoT)

woensdag 11 juni 2008 14:22

Acties:

Sando

Sandoichi

Topicstarter

*kick*

Inmiddels ben ik zo slim geweest eens in het logboek te kijken van de target computer.

Event Viewer > System >

Event Type: Error
Event Source: EFS
Event Category: None
Event ID: 6032
Date: 11-6-2008
Time: 14:06:44
User: N/A
Computer: REDSANDRO
Description:
EFS does not support encryption over network sessions established using the NTLM protocol.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Dat geeft voer voor google, maar daaruit blijkt dat EFS alleen mogelijk is voor Active Directory computers. En daar wordt het raar, want het werkte vroeger (lees: Toen ik nog 2x XP32 SP2 had) en ik weet niet eens wat een Actieve Directory is, laat staan dat ik toentertijd een server heb aangewezen om te heersen over authenticatie van 'alle' andere computers..

Is dit misschien een nieuwe 'feature' van XP64 en/of XP32 SP3? Weet iemand hoe ik EFS over netwerk weer kan enablen?

[ Voor 3% gewijzigd door Sando op 11-06-2008 14:44 . Reden: typo ]

🇪🇺 Buy from EU (GoT)

woensdag 11 juni 2008 14:48

Acties:

alt-92

ye olde farte

Sando schreef op woensdag 11 juni 2008 @ 14:22:
*kick*

Inmiddels ben ik zo slim geweest eens in het logboek te kijken van de target computer.

Dat geeft voer voor google, maar daaruit blijkt dat EFS alleen mogelijk is voor Active Directory computers.

Ehm.. dat staat niet letterlijk zo in de eventID, enkel dat er dan geen NTLM(v1) kan worden gebruikt.

Het is wel zo dat binnen een AD - dus een domain - de EFS agents voor het domain gelden en je dus wel kan wisselen van werkstation omdat daar Kerberos wordt gebruikt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 16 juni 2008 16:31

Acties:

Sando

Sandoichi

Topicstarter

Bedankt voor het meedenken, maar ik begrijp niet zo goed wat je zegt. Of eigenlijk wel (semantisch), maar niet hoe ik daar inhoudelijk mee naar een oplossing kan werken.

Google resultaten hebben het over roaming profiles en AD's, maar dat had ik echt niet toen het werkte. Kan je ergens die NT Lan Manager omwisselen met een "EFS supporting non-roaming-profile-requiring Lan Manager" achtig iets?

Ik heb ook geen IIS, dus het waren ook geen Web Folders die ik gebruikte.

🇪🇺 Buy from EU (GoT)

maandag 16 juni 2008 17:20

Acties:

sanfranjake

Computers can do that?

You cannot grant users who are members of other domains in the forest the permission to decrypt and encrypt EFS-encrypted files in Windows Server 2003 or in Windows XP Kan me haast niet voorstellen dat dit het is maar je weet het nooit. Zit in SP3 btw.
Die zou ik sowieso installeren want er zitten wel meer fixes in voor vage EFS-problemen

als je in je organisatie ook Vista pc's hebt kunnen die ook in de weg zitten. SP1 zou daar dan e.e.a. aan functionaliteit wel recht moeten trekken

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 16 juni 2008 19:14

Acties:

Sando

Sandoichi

Topicstarter

Hey bedankt voor de link. Wat is de MS site weer mooi oranje.

Die fix is denk ik niet wat ik moet hebben omdat ik mensen nooit met domains en forests heb gewerkt. Toch wil ik alles proberen. Maar mijn XP 32bit is al een uptodate SP3 dus die zou 'm wel moeten hebben, en de fix is er (geloof ik) niet voor x64 systemen.

Hier een klein overzicht van mijn computers door de maanden heen. Ik ben nooit lid geweest van een domein, alleen (mss irrelevant maar ik noem het maar even) een zelfde werkgroep en op beide computers mijn account met de zelfde naam en zelfde wachtwoord. Alle certificaten zijn bij elkaar aanwezig en werken goed; een externe schijf met files encrypted op PC1 werkt lokaal op PC2 en vice-versa.

code:

PC1          PC2          Local EFS      Remote EFS
XP32 SP2     XP32 SP2     Werkt          Werkt
XP32 SP2     XP64 SP2     Werkt          Werkt NIET
XP32 SP3     XP64 SP2     Werkt          Werkt NIET

Het werkte (vroeger) out of the box zeg maar. Heel vreemd dat ik daar geen artikels over kan vinden.

🇪🇺 Buy from EU (GoT)

maandag 16 juni 2008 19:58

Acties:

alt-92

ye olde farte

Is die tweede machine vroeger een kloon geweest van de eerste misschien? Dan kan ik me er nog iets bij voorstellen (ok, computernaam verander je wel, maar in een werkgroep waar je twee local SAMs hebt die dezelfde RID gebruiken gebeurt er niet zo heel veel schokkends - in een AD domain krijg je onherroepelijk problemen als je geen nieuwe machineSID genereert).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 21 juni 2008 13:38

Acties:

Sando

Sandoichi

Topicstarter

Het waren wel allebei unattended installs van de zelfde installatie-cd, maar geen uitrollen van eenzelfde image ofzo, dus geen cloon. Ik heb later wel een stukje Documents and Settings gemerged, maar volgens mij wordt Windows daar niet speciaal van.

🇪🇺 Buy from EU (GoT)