EFS – wierzcholek gory lodowej
zaczelo sie od wpisow w eventlogu:
Event Type: Error
Event Source: AutoEnrollment
Event Category: None
Event ID: 13
Date: 2005-10-19
Time: 10:15:17
User: N/A
Computer: XXX
Description:
Automatic certificate enrollment for local system failed to enroll for
one Domain Controller certificate (0x80070005). Access is denied.
dotyczylo jednego z kontrolerow domeny, a ze nie widzialem szczegolnej zmiany w dzialaniu calosci olalem to z braq czasu.
teraz kfaz wymyslil sobie, ze zakoduje pliki EFSem i okazalo sie, ze certfikat recovery agenta stracil waznosc.
no i sie zaczalo.
okazalo sie, ze polisy dla PKI sa co najmniej mocno zaniedbane. nigdy nie bylo to szeroko wykorzystywane wiec nie mialem potrzeby zagladac. ogolne procedury i tyle.
poniewaz jak rasowy geek najpierw wszystko probowalem zrobic nie siegajac po instrukcje, ni huhu nie chcialo zadzialac. znalazlem wiec step by step konfiguracje EFSa.
wszystko ok do momentu proby utworzenia Recovery Agenta, poniewaz wbierajac usera z wygenerowanym certyfikatem wypisywalo, ze ten user nie ma certyfikatu recovery agenta i zebym sie cmoknal.
udalo mi sie znalesc KB ktory dotyczy publikacji certyfikatow w domenie. i faktycznie podpadlem w jedna z kategorii. naprawilem wszystko i…
i nic.
znalazlem w domenie polise dotyczaca autoenrollmentu i byla wylaczona. wlaczylem
i nadal nic. caly czas przy probie wybrania usera mam komunikat:
„The selected user has no certificates suitable for Encrypted File System Recovery and cannot be added as recovery agent”.
az w koncu kiedy juz bylem bliski zalamania…
znalazlem w certificate templates, ze certyfikat dla recovery agenta ma odznaczone pole 'publish in AD’. te szablony sa niemodyfikowalne. skopiowalem szablon pod nowa nazwa, wsadzilem ten stary szablon jako nadpisywany przez nowy (tak na wszelki wypadek). potem z konsolki certsrv.msc trzeba usunac stary i dodac nowy.
teraz wszytko poszlo jak w instrukcji.
pozostaje pytanie – czemu sa takie durne defaulty?
czemu nigdzie nie ma opisu takiego scenariusza? przeciez niemozliwe, ze pierwszy mam taki problem…
ciekawe czy po tych poprawkach kontroler dostanie cert z autoenrollmentu… w kazdym razie teraz bede wiedzial gdzie szukac. to byl przyspieszony qrs 'PKI w praktyce’.
na dodanie smaczq: kiedy walczylismy z ISA w strazniq systemu pojawilo sie pytanie dot. ISA. dzisiaj pojawilo sie pytanie dotyczace certyfikatow… nice
monad – pierwsza walka
hurtowe kasownie nieuzywanych kont bylo dobrym powodem, zeby napisac pierwszy skrypt w monadzie:
no i od razu pojawilo sie setki niedociagniec i wad. po pierwsze cut jest z SFU. o ile znalazlem metode 'substring’ (bo jest w tutorialsach) to brak repozytorium spowodowal, ze nie moglem znalesc odpowiednika 'instring’, o ile wogole istnieje. stad cut.
po drugie – wazniejsze, inny sposob parsowania PATHa – ktorego jeszcze nie do konca rozumiem powoduje, ze trzeba odpalac
cscript n:_scriptzumgr.vbs -u $_ –delete -YesAmSure
zamiast
umgr -u $_ –delete -YesAmSure
co wydaje mi sie duzo przyjemniesze ): mam nadzieje nad tym problemem troche posiedziec bo inaczej po prostu nie da sie tego uzywac.
no i najwazniejsze: msh ma w tzw glebokim powazaniu strone kodowa z jakiej sie uzywa. poniewaz usersi w pliku sa w 1250 z polskimi czcionkami to kretyn nie byl w stanie sprasowac znakow diakrytycznych ): co by nie zrobic korzysta z 1252.
to samo korzystajac z ceemdowego FORa bylo by latwiejsze, obsluguje odpowiednia czionke i jest szybsze… no ale czego wymagac od bety. pouczyc sie warto – kiedys to bedzie podstawowa konsola, a problemy beda rozwiazane w 2oo9 po wyjsciu SP1 dla VISTA server, wiec nie ma sie co martwic (;