クライアント コンピューターが Windows Server 2003 ドメイン内のファイルを暗号化するときのエラー: このシステム用に構成された回復ポリシーに無効な回復証明書が含まれています

  • [アーティクル]

この記事では、クライアント コンピューターが Microsoft Windows Server 2003 ドメイン内のファイルを暗号化するときに発生するエラーの解決策について説明します。

適用対象: Windows Server 2003
元の KB 番号: 937536

現象

クライアント コンピューターが暗号化ファイル システム (EFS) を使用して、Microsoft Windows Server 2003 ドメイン内のリモート コンピューターに格納されているファイルを暗号化すると、次のようなエラー メッセージがコンピューターに表示される場合があります。

このシステム用に構成された回復ポリシーには、無効な回復証明書が含まれています。

原因

この問題は、クライアント コンピューターに実装されている EFS 回復ポリシーに、有効期限が切れた 1 つ以上の EFS 回復エージェント証明書が含まれている場合に発生します。 有効な回復エージェント証明書が使用可能になるまで、クライアント コンピューターは新しいドキュメントを暗号化できません。

解決方法

この問題を解決するには、次の手順を実行します。

  1. EFS 回復エージェントを実行するユーザー アカウントを使用して、ドメイン コントローラーにログオンします。

  2. Windows Server 2003 バージョンの暗号ツールとスイッチを /r 使用して、新しい自己署名ファイル回復証明書と秘密キーを作成します。 暗号ツールは、新しいパブリック ファイル回復証明書 (.cer ファイル) と .pfx ファイルを生成します。 これらのファイルのコピーを作成し、安全な場所に保存します。 新しいファイル回復証明書を生成するには、次の手順に従います。

    1. [ スタート] をクリックし、[ 実行] をクリックし、「 cmd」と入力して、[OK] をクリック します

    2. コマンド プロンプトで、「」と入力 cipher /r: file_nameし、Enter キーを押します。

      注:

      file_name は、使用するファイル名を表します。 わかりやすいファイル名を使用します。 ファイル名に拡張子を追加しないでください。 新しい .cer ファイルと .pfx ファイルが同じフォルダーに作成されていることを確認します。

    3. .pfx ファイルを保護するためのパスワードの入力を求められたら、覚えやすいパスワードを入力します。

  3. 古い EFS 回復エージェント証明書をエクスポートします。 これを行うには、次の手順を実行します。

    1. ドメイン管理者の資格情報を持つアカウントを使用して、ドメイン コントローラーにログオンします。 [スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] をクリックします。

    2. [Domain_name] を右クリックし、[プロパティ] をクリックします。

    3. [グループ ポリシー] タブをクリックし、[既定のドメイン ポリシー グループ ポリシー オブジェクト (GPO)] をクリックし、[編集] をクリックします。

    4. [コンピューターの構成] を展開し、[Windows 設定]、[セキュリティ設定] の順に展開し、[公開キー ポリシー] を展開して、[ファイル システムの暗号化] をクリックします。

    5. 現在の EFS 回復エージェント証明書を右クリックし、[ すべてのタスク] をポイントして、[ エクスポート] をクリックします。

    6. 証明書のエクスポート ウィザードの指示に従って、古い EFS 回復エージェント証明書をエクスポートします。

      注:

      古い EFS 回復エージェント証明書と秘密キーを.cer ファイルにエクスポートしてください。 新しい EFS 回復エージェント .pfx ファイルと古い EFS 回復エージェント .pfx ファイルは安全な場所に保管してください。

  4. 古い EFS 回復エージェント証明書を右クリックし、[ 削除] をクリックし、[ はい] をクリックします。

  5. ドメイン管理者資格情報を持つアカウントを使用してドメイン コントローラーにログオンし、新しい EFS 回復エージェント証明書をインポートします。 これを行うには、次の手順を実行します。

    1. [スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] をクリックします。
    2. Domain_nameを右クリックし、[プロパティ] をクリックします。
    3. [グループ ポリシー] タブをクリックし、[既定のドメイン ポリシー GPO] をクリックし、[編集] をクリックします。
    4. [ コンピューターの構成] を展開し 、[Windows 設定] を展開し 、[セキュリティ設定] を展開し、[ 公開キー ポリシー] を展開して、[ ファイル システムの暗号化] をクリックします。
    5. [暗号化ファイル システム] フォルダーを右クリックし、[追加] をクリックします。
    6. 回復エージェントの追加ウィザードで [ 次へ ] をクリックし、[ フォルダーの参照] をクリックします。
    7. 手順 2b で作成した新しい.cer ファイルをインポートし、[ 開く] をクリックします。

    注:

    .cer ファイルを開くと、[回復エージェント] フィールドにUSER_UNKNOWNが表示されます。 このメッセージは予期されます。 また、回復エージェントの追加ウィザードから、証明書が信頼されていないことを示す警告メッセージが表示されます。

  6. 手順 2b で作成した新しい.cer ファイルを フォルダーにインポートします。 Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities

  7. 複数のドメイン コントローラーがある場合は、コマンド プロンプトで「」と入力gpupdate /forceして、グループ ポリシーを更新します。

  8. クライアント コンピューターがファイルを正常に暗号化できることを確認します。