Erreur lorsque les ordinateurs clients chiffrent un fichier dans un domaine Windows Server 2003 : la stratégie de récupération configurée pour ce système contient un certificat de récupération non valide

  • Article

Cet article fournit une solution à une erreur qui se produit lorsque les ordinateurs clients chiffrent un fichier dans un domaine Microsoft Windows Server 2003.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 937536

Symptômes

Lorsqu’un ordinateur client utilise le système de fichiers EFS (Encrypting File System) pour chiffrer un fichier stocké sur un ordinateur distant dans un domaine Microsoft Windows Server 2003, un message d’erreur semblable à celui-ci peut s’afficher sur l’ordinateur :

La stratégie de récupération configurée pour ce système contient un certificat de récupération non valide.

Cause

Ce problème se produit si la stratégie de récupération EFS implémentée sur l’ordinateur client contient un ou plusieurs certificats d’agent de récupération EFS qui ont expiré. Les ordinateurs clients ne peuvent pas chiffrer de nouveaux documents tant qu’un certificat d’agent de récupération valide n’est pas disponible.

Résolution

Pour résoudre ce problème, procédez comme suit :

  1. Connectez-vous à un contrôleur de domaine à l’aide du compte d’utilisateur sous lequel vous souhaitez que l’agent de récupération EFS s’exécute.

  2. Utilisez la version Windows Server 2003 de l’outil de chiffrement avec le /r commutateur pour créer un certificat de récupération de fichiers auto-signé et une clé privée. L’outil de chiffrement génère un nouveau certificat de récupération de fichiers publics (un fichier .cer) et un fichier .pfx. Effectuez des copies de ces fichiers, puis enregistrez-les dans un emplacement sûr. Pour générer le nouveau certificat de récupération de fichier, procédez comme suit :

    1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.

    2. À l’invite de commandes, tapez cipher /r: file_name, puis appuyez sur Entrée.

      Remarque

      file_name représente le nom de fichier que vous souhaitez utiliser. Utilisez un nom de fichier qui est significatif pour vous. N’ajoutez pas d’extension au nom de fichier. Assurez-vous que les nouveaux fichiers .cer et .pfx sont créés dans le même dossier.

    3. Lorsque vous êtes invité à entrer un mot de passe pour protéger le fichier .pfx, tapez un mot de passe dont vous vous souviendrez facilement.

  3. Exportez l’ancien certificat de l’agent de récupération EFS. Pour cela, procédez comme suit :

    1. Connectez-vous au contrôleur de domaine à l’aide d’un compte disposant d’informations d’identification d’administration de domaine. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration, et cliquez sur Utilisateurs et ordinateurs Active Directory.

    2. Cliquez avec le bouton droit sur Domain_name, puis cliquez sur Propriétés.

    3. Cliquez sur l’onglet stratégie de groupe, cliquez sur l’objet de stratégie de groupe de stratégie de domaine par défaut (GPO), puis cliquez sur Modifier.

    4. Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies de clé publique, puis cliquez sur Chiffrement du système de fichiers.

    5. Cliquez avec le bouton droit sur le certificat de l’agent de récupération EFS actuel, pointez sur Toutes les tâches, puis cliquez sur Exporter.

    6. Suivez les instructions de l’Assistant Exportation de certificat pour exporter l’ancien certificat de l’agent de récupération EFS.

      Remarque

      Veillez à exporter l’ancien certificat de l’agent de récupération EFS avec la clé privée dans un fichier .cer. Conservez le nouveau fichier .pfx de l’agent de récupération EFS et l’ancien fichier .pfx de l’agent de récupération EFS dans un emplacement sûr.

  4. Cliquez avec le bouton droit sur l’ancien certificat de l’agent de récupération EFS, cliquez sur Supprimer, puis sur Oui.

  5. Connectez-vous au contrôleur de domaine à l’aide d’un compte disposant d’informations d’identification d’administration de domaine, puis importez le nouveau certificat de l’agent de récupération EFS. Pour cela, procédez comme suit :

    1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration, et cliquez sur Utilisateurs et ordinateurs Active Directory.
    2. Cliquez avec le bouton droit sur Domain_name, puis cliquez sur Propriétés.
    3. Cliquez sur l’onglet stratégie de groupe, sur l’objet de stratégie de domaine par défaut, puis sur Modifier.
    4. Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies de clé publique, puis cliquez sur Chiffrement du système de fichiers.
    5. Cliquez avec le bouton droit sur le dossier Encrypting File System , puis cliquez sur Ajouter.
    6. Cliquez sur Suivant dans l’Assistant Ajout d’un agent de récupération, puis cliquez sur Parcourir les dossiers.
    7. Importez le nouveau fichier .cer que vous avez créé à l’étape 2b, puis cliquez sur Ouvrir.

    Remarque

    Lorsque vous ouvrez le fichier .cer, vous voyez USER_UNKNOWN dans le champ Agents de récupération. Ce message est attendu. En outre, vous recevez un message d’avertissement de l’Assistant Ajout d’un agent de récupération indiquant que le certificat n’est pas approuvé.

  6. Importez le nouveau fichier .cer que vous avez créé à l’étape 2b dans le dossier : Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities.

  7. Si vous avez plusieurs contrôleurs de domaine, tapez gpupdate /force à l’invite de commandes pour mettre à jour le stratégie de groupe.

  8. Vérifiez que les ordinateurs clients peuvent chiffrer correctement les fichiers.