none
AD unter WS 2012 - kein EFS Data Recovery Agent RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe gerade festgestellt, dass beim Installieren einer neuen Domäne unter Windows Server 2012 kein EFS DRA Zertifikat erstellt und verteilt wird.

    Bei den Vorgängern wurde automatisch auf dem ersten DC ein EFS DRA Zertifikat erstellt und über die DDP in der Domäne verteilt. Das Zertifikat lässt sich problemlos manuell erstellen und verteilen, man muss nur daran denken.

    ---

    Kann mir jemand den Hintergrund des geänderten Verhaltens erklären?

    This posting is provided >AS IS< with no warranties.

    Samstag, 13. Juli 2013 05:19
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Bei den Vorgängerversionen wurde der Builtin-Admin verwendet - nicht gut, da halt Builtin. DRAs sollten natürliche Personen sein ;-) Aber wenn ich mich richtig erinnere: Auch bei 2012 ist das Zertifikat noch enthalten - nur läuft es 1 MOnat vor DCPromo ab.

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Montag, 15. Juli 2013 10:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wenn ein neuer Domänencontroller installiert ist, der erste in diesem Fall findest Du das Zertifikat angemeldet als Administrator unter MMC, Zertifikate, Angemeldeter Benutzer im PERSONAL Speicherort, hier aus einem englischen Windows Server 2012 R2 herausgenommen, habe gerade keinen Windows Server 2012 zur Hand..

    Und wie Martin geschrieben hat sieht man das Datum ist abgelaufen. Oder reden wir jetzt aneinander vorbei?

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.


    Montag, 15. Juli 2013 10:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo und vielen Dank für die Antworten.

    Ich habe die Sache mittlerweile etwas weiter eingrenzen können:
    Es sind nur VMs mit WS 2012 betroffen, die aus einer mit sysprep vorbereiteten Vorlage erstellt wurden. Das sysprep ist sauber durchgelaufen. Es gibt keine Auffälligkeiten im Log, es wurden bei der Bereitstellung (manuell oder VMM) auch neue SIDs generiert.
    Bei den 2008R2 Vorlagen, die über eine äquivalente Tasksequenz im ADK erstellt wurden, tritt dieses Phenomän nicht auf.

    Bei manuell erstellten Maschinen tritt dieses Problem anscheinend nicht auf. Ein paar Tests stehen jedoch noch aus.

    @Martin:
    Natürlich ist es eleganter, definierte Prozesse für den Einsatz von EFS zu haben. Viele KMUs haben aber oftmals nicht die Resourcen oder das Know How dafür. Da ist das DRA Zertifikat vom Administrator mit 100 Jahren Gültigkeit der letzte Rettungsanker, wenn mal etwas schief geht.

    This posting is provided >AS IS< with no warranties.

    Montag, 15. Juli 2013 21:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe heute noch etwas Zeit zum Testen gehabt.

    Das Problem steht anscheinend im Zusammenhang mit der Bereitstellung über das ADK. Es ist egal, ob ich den Server direkt aus der install.WIM des ISO oder aus einer Aufzeichnung (sysprep&capture) erstelle.
    Beide Varianten erzeugen kein DRA Zertifikat.

    Meine Tasksequenz ist denkbar einfach:

    • Image bereitstellen, Updates installieren, Reboot, Fertig
    • BitLocker und 'local GPO Package' habe ich aus der Tasksequenz gelöscht

    Die Tasksequenz, customsettings.ini und bootstrap.ini für die Server 2008R2 Bereitstellung beinhalten genau die gleichen Schritte und Einstellungen. Hier tritt das Phenomän mit dem nicht vorhandenen DRA Zertifikat nicht auf.

    Hat noch jemand eine Idee? Mir gehen diese langsam aus ...

    This posting is provided >AS IS< with no warranties.

    Dienstag, 16. Juli 2013 18:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Um das abschließend zu klären (ob "by Design" oder "Problem") würde ich Dich bitten einen Support-Call bei Microsoft aufzumachen.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Mittwoch, 17. Juli 2013 08:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Tobias,

    ich habe gerade die Support Anfrage rausgeschickt.

    Sobald ich eine Info und die Zeit zur Weiterbearbeitung habe, gebe ich nochmal eine Rückmeldung.

    PS:
    Das Problem konnte ich inzwischen 'erfolgreich' in einer weiteren Umgebung reproduzieren.

    This posting is provided >AS IS< with no warranties.

    Mittwoch, 17. Juli 2013 16:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe jetzt eine Antwort vom Support bekommen:

    ...

    Als schon telefonisch besprochen, unsere Support für Beratung Fälle sehr begrenzt ist, da wir eine Break/Fix Abteilung sind.
     
    Sie haben das Recht auch einen Thread in einem TechNet Forum aufzumachen.
     
    Ich werde den fall nun für Sie kostenlos in unserem System archivieren.
     
    Bitte finden Sie den Link für den Microsoft Pinpoint Portal, wo Sie einen Microsoft Partner auswählen könnten.

    ...

    [Kommentar freiwillig zensiert]

    This posting is provided >AS IS< with no warranties.

    Dienstag, 23. Juli 2013 15:00
    |