Errore quando i computer client crittografano un file in un dominio di Windows Server 2003: i criteri di ripristino configurati per questo sistema contengono un certificato di ripristino non valido

  • Articolo

Questo articolo fornisce una soluzione a un errore che si verifica quando i computer client crittografano un file in un dominio di Microsoft Windows Server 2003.

Si applica a: Windows Server 2003
Numero KB originale: 937536

Sintomi

Quando un computer client usa il file system di crittografia (EFS) per crittografare un file archiviato in un computer remoto in un dominio di Microsoft Windows Server 2003, è possibile che venga visualizzato un messaggio di errore simile al seguente:

I criteri di ripristino configurati per questo sistema contengono un certificato di ripristino non valido.

Causa

Questo problema si verifica se i criteri di ripristino EFS implementati nel computer client contengono uno o più certificati dell'agente di ripristino EFS scaduti. I computer client non possono crittografare i nuovi documenti finché non è disponibile un certificato dell'agente di ripristino valido.

Risoluzione

Per risolvere il problema, attenersi alla procedura seguente:

  1. Accedere a un controller di dominio usando l'account utente con cui si vuole eseguire l'agente di ripristino EFS.

  2. Usare la versione di Windows Server 2003 dello strumento di crittografia insieme al /r commutatore per creare un nuovo certificato di recupero file autofirmato e una chiave privata. Lo strumento di crittografia genera un nuovo certificato di recupero di file pubblici (un file .cer) e un file con estensione pfx. Crea copie di questi file e quindi salvali in una posizione sicura. Per generare il nuovo certificato di recupero file, seguire questa procedura:

    1. Fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.

    2. Al prompt dei comandi digitare cipher /r: file_namee quindi premere INVIO.

      Nota

      file_name rappresenta il nome file da usare. Usare un nome di file significativo per l'utente. Non aggiungere un'estensione al nome del file. Assicurarsi che i nuovi file .cer e pfx vengano creati nella stessa cartella.

    3. Quando viene richiesta una password per proteggere il file con estensione pfx, digitare una password che verrà facilmente ricordata.

  3. Esportare il certificato dell'agente di ripristino EFS precedente. A tal fine, attenersi alla seguente procedura:

    1. Accedere al controller di dominio usando un account con credenziali amministrative di dominio. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.

    2. Fare clic con il pulsante destro del mouse su Domain_name e quindi scegliere Proprietà.

    3. Fare clic sulla scheda Criteri di gruppo, fare clic sull'oggetto Criteri di dominio predefiniti Criteri di gruppo oggetto (GPO) e quindi su Modifica.

    4. Espandere Configurazione computer, Impostazioni di Windows, Impostazioni di sicurezza, Criteri chiave pubblica e quindi fare clic su Crittografia file system.

    5. Fare clic con il pulsante destro del mouse sul certificato dell'agente di ripristino EFS corrente, scegliere Tutte le attività e quindi fare clic su Esporta.

    6. Seguire le istruzioni dell'Esportazione guidata certificati per esportare il certificato dell'agente di ripristino EFS precedente.

      Nota

      Assicurarsi di esportare il certificato dell'agente di ripristino EFS precedente insieme alla chiave privata in un file di .cer. Mantenere il nuovo file PFX del nuovo agente di ripristino EFS e il file PFX dell'agente di ripristino EFS precedente in un percorso sicuro.

  4. Fare clic con il pulsante destro del mouse sul vecchio certificato dell'agente di ripristino EFS, scegliere Elimina e quindi fare clic su .

  5. Accedere al controller di dominio usando un account con credenziali amministrative di dominio e quindi importare il nuovo certificato dell'agente di ripristino EFS. A tal fine, attenersi alla seguente procedura:

    1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.
    2. Fare clic con il pulsante destro del mouse su Domain_name e quindi scegliere Proprietà.
    3. Fare clic sulla scheda Criteri di gruppo, fare clic sull'oggetto Criteri di gruppo Criteri di dominio predefiniti e quindi su Modifica.
    4. Espandere Configurazione computer, Impostazioni di Windows, Impostazioni di sicurezza, Criteri chiave pubblica e quindi fare clic su Crittografia file system.
    5. Fare clic con il pulsante destro del mouse sulla cartella Encrypting File System e quindi scegliere Aggiungi.
    6. Fare clic su Avanti nell'Aggiunta guidata agente di ripristino e quindi su Sfoglia cartelle.
    7. Importare il nuovo file .cer creato nel passaggio 2b e quindi fare clic su Apri.

    Nota

    Quando si apre il file .cer, viene visualizzato USER_UNKNOWN nel campo Agenti di ripristino. Questo messaggio è previsto. Viene inoltre visualizzato un messaggio di avviso dall'Aggiunta guidata agente di ripristino che indica che il certificato non è attendibile.

  6. Importare il nuovo file .cer creato nel passaggio 2b nella cartella : Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities.

  7. Se si dispone di più controller di dominio, digitare gpupdate /force al prompt dei comandi per aggiornare il Criteri di gruppo.

  8. Verificare che i computer client possano crittografare correttamente i file.