Cauza eșecului copiei de rezervă a cheii principale și consecințele soluției

Dave Cousineau

08.08.2023, 20:50

Am avut o stație de lucru afectată de problema descrisă aici:

https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/dpapi-masterkey-backup-failures

Practic, în versiunile mai vechi de Windows la prima conectare, dacă un RWDC (Read/Write Domain Controller) nu poate fi contactat, se face o copie de rezervă locală a cheii principale. În timp ce în versiunile mai noi de Windows, se pare că nu va reuși să facă backup la cheia principală (sau ceva), iar apoi criptarea nu va funcționa.

Am remediat-o efectuând editarea registrului enumerată în articol, care se găsește în diferite locuri de pe web ca o remediere a multor simptome ale acestei probleme.

Ce ma intreb:

De ce a avut această stație de lucru această problemă? DC-ul său este atât inscriptibil, cât și disponibil, dar nu ar corecta problema nici după repornire/reconectare.
Care este consecința editării registrului? MS oferă acest avertisment cu sunet de rău augur:

Avertizare

Nu utilizați această cheie de registry dacă utilizatorii domeniului se conectează la mai multe computere! Deoarece cheile sunt copiate de rezervă local, orice modificare de parolă non-locală poate declanșa o situație în care toate cheile principale DPAPI sunt împachetate folosind vechea parolă, iar apoi recuperarea domeniului nu este posibilă. Această cheie de registry ar trebui să fie setată numai într-un mediu în care pierderea de date este acceptabilă.

Dar se pare că acesta a fost comportamentul implicit, oricum?

Ce aș fi putut face/face pentru a corecta această problemă fără editarea registry? Articolul spune să puneți computerul într-o locație în care există un RWDC disponibil, dar ar fi trebuit să fie deja. Nu sunt sigur dacă DC a fost disponibil chiar la prima conectare la Windows, deoarece altcineva a instalat Windows. Dar s-ar părea puțin probabil ca un RWDC indisponibil o dată să aibă ca rezultat această problemă permanentă. Poate ar fi trebuit să mă alătur domeniului?
Bănuiesc că o altă întrebare ar fi: pot anula editarea registrului sau este permanentă backupul cheii master locale?

0 + 0

firewall

controlor de domeniu

SEF 777

întrebarea această in alte limbi:

EN: Cause of Master Key Backup Failure and Consequences of Workaround

TH: สาเหตุของความล้มเหลวในการสำรองข้อมูลมาสเตอร์คีย์และผลที่ตามมาจากวิธีแก้ปัญหา

RO: Cauza eșecului copiei de rezervă a cheii principale și consecințele soluției

RU: Причина сбоя резервного копирования мастер-ключа и последствия обходного пути

VI: Nguyên nhân của lỗi sao lưu khóa chính và hậu quả của cách giải quyết

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.