クライアント コンピューターが Windows Server 2003 ドメイン内のファイルを暗号化するときのエラー: このシステム用に構成された回復ポリシーに無効な回復証明書が含まれています
この記事では、クライアント コンピューターが Microsoft Windows Server 2003 ドメイン内のファイルを暗号化するときに発生するエラーの解決策について説明します。
適用対象: Windows Server 2003
元の KB 番号: 937536
現象
クライアント コンピューターが暗号化ファイル システム (EFS) を使用して、Microsoft Windows Server 2003 ドメイン内のリモート コンピューターに格納されているファイルを暗号化すると、次のようなエラー メッセージがコンピューターに表示される場合があります。
このシステム用に構成された回復ポリシーには、無効な回復証明書が含まれています。
原因
この問題は、クライアント コンピューターに実装されている EFS 回復ポリシーに、有効期限が切れた 1 つ以上の EFS 回復エージェント証明書が含まれている場合に発生します。 有効な回復エージェント証明書が使用可能になるまで、クライアント コンピューターは新しいドキュメントを暗号化できません。
解決方法
この問題を解決するには、次の手順を実行します。
EFS 回復エージェントを実行するユーザー アカウントを使用して、ドメイン コントローラーにログオンします。
Windows Server 2003 バージョンの暗号ツールとスイッチを
/r
使用して、新しい自己署名ファイル回復証明書と秘密キーを作成します。 暗号ツールは、新しいパブリック ファイル回復証明書 (.cer ファイル) と .pfx ファイルを生成します。 これらのファイルのコピーを作成し、安全な場所に保存します。 新しいファイル回復証明書を生成するには、次の手順に従います。[ スタート] をクリックし、[ 実行] をクリックし、「 cmd」と入力して、[OK] をクリック します。
コマンド プロンプトで、「」と入力
cipher /r: file_name
し、Enter キーを押します。注:
file_name は、使用するファイル名を表します。 わかりやすいファイル名を使用します。 ファイル名に拡張子を追加しないでください。 新しい .cer ファイルと .pfx ファイルが同じフォルダーに作成されていることを確認します。
.pfx ファイルを保護するためのパスワードの入力を求められたら、覚えやすいパスワードを入力します。
古い EFS 回復エージェント証明書をエクスポートします。 これを行うには、次の手順を実行します。
ドメイン管理者の資格情報を持つアカウントを使用して、ドメイン コントローラーにログオンします。 [スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] をクリックします。
[Domain_name] を右クリックし、[プロパティ] をクリックします。
[グループ ポリシー] タブをクリックし、[既定のドメイン ポリシー グループ ポリシー オブジェクト (GPO)] をクリックし、[編集] をクリックします。
[コンピューターの構成] を展開し、[Windows 設定]、[セキュリティ設定] の順に展開し、[公開キー ポリシー] を展開して、[ファイル システムの暗号化] をクリックします。
現在の EFS 回復エージェント証明書を右クリックし、[ すべてのタスク] をポイントして、[ エクスポート] をクリックします。
証明書のエクスポート ウィザードの指示に従って、古い EFS 回復エージェント証明書をエクスポートします。
注:
古い EFS 回復エージェント証明書と秘密キーを.cer ファイルにエクスポートしてください。 新しい EFS 回復エージェント .pfx ファイルと古い EFS 回復エージェント .pfx ファイルは安全な場所に保管してください。
古い EFS 回復エージェント証明書を右クリックし、[ 削除] をクリックし、[ はい] をクリックします。
ドメイン管理者資格情報を持つアカウントを使用してドメイン コントローラーにログオンし、新しい EFS 回復エージェント証明書をインポートします。 これを行うには、次の手順を実行します。
- [スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] をクリックします。
- Domain_nameを右クリックし、[プロパティ] をクリックします。
- [グループ ポリシー] タブをクリックし、[既定のドメイン ポリシー GPO] をクリックし、[編集] をクリックします。
- [ コンピューターの構成] を展開し 、[Windows 設定] を展開し 、[セキュリティ設定] を展開し、[ 公開キー ポリシー] を展開して、[ ファイル システムの暗号化] をクリックします。
- [暗号化ファイル システム] フォルダーを右クリックし、[追加] をクリックします。
- 回復エージェントの追加ウィザードで [ 次へ ] をクリックし、[ フォルダーの参照] をクリックします。
- 手順 2b で作成した新しい.cer ファイルをインポートし、[ 開く] をクリックします。
注:
.cer ファイルを開くと、[回復エージェント] フィールドにUSER_UNKNOWNが表示されます。 このメッセージは予期されます。 また、回復エージェントの追加ウィザードから、証明書が信頼されていないことを示す警告メッセージが表示されます。
手順 2b で作成した新しい.cer ファイルを フォルダーにインポートします。
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities
複数のドメイン コントローラーがある場合は、コマンド プロンプトで「」と入力
gpupdate /force
して、グループ ポリシーを更新します。クライアント コンピューターがファイルを正常に暗号化できることを確認します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示