클라이언트 컴퓨터가 Windows Server 2003 도메인에서 파일을 암호화하는 경우 오류: 이 시스템에 대해 구성된 복구 정책에 잘못된 복구 인증서가 포함되어 있습니다.

  • 아티클

이 문서에서는 클라이언트 컴퓨터가 Microsoft Windows Server 2003 도메인에서 파일을 암호화할 때 발생하는 오류에 대한 솔루션을 제공합니다.

적용 대상: Windows Server 2003
원래 KB 번호: 937536

증상

클라이언트 컴퓨터가 EFS(파일 시스템 암호화)를 사용하여 Microsoft Windows Server 2003 도메인의 원격 컴퓨터에 저장된 파일을 암호화하는 경우 다음과 유사한 오류 메시지가 컴퓨터에 표시될 수 있습니다.

이 시스템에 대해 구성된 복구 정책에 잘못된 복구 인증서가 포함되어 있습니다.

원인

이 문제는 클라이언트 컴퓨터에 구현된 EFS 복구 정책에 만료된 하나 이상의 EFS 복구 에이전트 인증서가 포함된 경우에 발생합니다. 유효한 복구 에이전트 인증서를 사용할 수 있게 될 때까지 클라이언트 컴퓨터는 새 문서를 암호화할 수 없습니다.

해결 방법

이 문제를 해결하려면 다음과 같이 하십시오.

  1. EFS 복구 에이전트를 실행할 사용자 계정을 사용하여 도메인 컨트롤러에 로그온합니다.

  2. Windows Server 2003 버전의 암호 도구를 스위치와 /r 함께 사용하여 새 자체 서명된 파일 복구 인증서 및 프라이빗 키를 만듭니다. 암호 도구는 새 공용 파일 복구 인증서(.cer 파일) 및 .pfx 파일을 생성합니다. 이러한 파일의 복사본을 만들고 안전한 위치에 저장합니다. 새 파일 복구 인증서를 생성하려면 다음 단계를 수행합니다.

    1. 시작을 클릭하고 실행을 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

    2. 명령 프롬프트에서 를 입력 cipher /r: file_name한 다음 Enter 키를 누릅니다.

      참고

      file_name 사용하려는 파일 이름을 나타냅니다. 의미 있는 파일 이름을 사용합니다. 파일 이름에 확장명을 추가하지 마세요. 새 .cer 및 .pfx 파일이 동일한 폴더에 만들어졌는지 확인합니다.

    3. .pfx 파일을 보호하기 위한 암호를 묻는 메시지가 표시되면 기억하기 쉬운 암호를 입력합니다.

  3. 이전 EFS 복구 에이전트 인증서를 내보냅니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 도메인 관리 자격 증명이 있는 계정을 사용하여 도메인 컨트롤러에 로그온합니다. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭합니다.

    2. Domain_name 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    3. 그룹 정책 탭을 클릭하고 GPO(기본 도메인 정책 그룹 정책 개체)를 클릭한 다음 편집을 클릭합니다.

    4. 컴퓨터 구성을 확장하고, Windows 설정을 확장하고, 보안 설정을 확장하고, 공개 키 정책을 확장한 다음, 파일 시스템 암호화를 클릭합니다.

    5. 현재 EFS 복구 에이전트 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 내보내기를 클릭합니다.

    6. 인증서 내보내기 마법사의 지침에 따라 이전 EFS 복구 에이전트 인증서를 내보냅니다.

      참고

      프라이빗 키와 함께 이전 EFS 복구 에이전트 인증서를 .cer 파일로 내보내야 합니다. 새 EFS 복구 에이전트 .pfx 파일 및 이전 EFS 복구 에이전트 .pfx 파일을 안전한 위치에 유지합니다.

  4. 이전 EFS 복구 에이전트 인증서를 마우스 오른쪽 단추로 클릭하고 삭제를 클릭한 다음 예를 클릭합니다.

  5. 도메인 관리 자격 증명이 있는 계정을 사용하여 도메인 컨트롤러에 로그온한 다음 새 EFS 복구 에이전트 인증서를 가져옵니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭합니다.
    2. Domain_name 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
    3. 그룹 정책 탭을 클릭하고 기본 도메인 정책 GPO를 클릭한 다음 편집을 클릭합니다.
    4. 컴퓨터 구성, Windows 설정, 보안 설정, 공개 키 정책을 차례로 확장한 다음 파일 시스템 암호화를 클릭합니다.
    5. 파일 시스템 암호화 폴더를 마우스 오른쪽 단추로 클릭한 다음 추가를 클릭합니다.
    6. 복구 에이전트 추가 마법사에서 다음 을 클릭한 다음 폴더 찾아보기를 클릭합니다.
    7. 2b단계에서 만든 새 .cer 파일을 가져온 다음 열기를 클릭합니다.

    참고

    .cer 파일을 열면 복구 에이전트 필드에 USER_UNKNOWN 표시됩니다. 이 메시지가 필요합니다. 또한 복구 에이전트 추가 마법사에서 인증서를 신뢰할 수 없다는 경고 메시지가 표시됩니다.

  6. 2b단계에서 만든 새 .cer 파일을 폴더 Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities로 가져옵니다.

  7. 도메인 컨트롤러가 여러 대 있는 경우 명령 프롬프트에 를 입력 gpupdate /force 하여 그룹 정책 업데이트합니다.

  8. 클라이언트 컴퓨터가 파일을 성공적으로 암호화할 수 있는지 확인합니다.