Quando activar a definição de política "Encriptar cache de ficheiros offline", vários certificados EFS podem ser gerados quando inicia sessão no domínio de vários computadores cliente baseados no Windows Vista ou baseados no Windows Server 2008

Se a Itinerância de credenciais estiver activada, é possível que os pedidos de certificados de encriptação de ficheiros (EFS), para encriptar os ficheiros na cache offline, vão ser efectuados antes de certificados existentes são sincronizados do objecto utilizador no Active directory com o arquivo de certificados de computador local do utilizador.

Este comportamento ocorre se a encriptação da cache de ficheiros offline está activada e se o redireccionamento de pastas está a ser implementado pelas definições de política de grupo.

Este comportamento resulta em vários certificados EFS a ser gerados e armazenados nas seguintes localizações:

• Arquivo de certificados pessoais no computador local onde inicia sessão no domínio
• As credenciais itinerantes atributos do objecto utilizador no Active Directory

Os seguintes problemas podem ocorrer devido a este comportamento:

• Quando um utilizador inicia sessão para uma estação de trabalho baseado no Windows Vista ou para um servidor baseado no Windows Server 2008 num domínio, um novo pedido de certificado para certificados (EFS, ENCRYPTING File System) é gerada.
• O objecto de utilizador no Active Directory torna-se bloated. Determinadas operações poderão falhar devido ao tamanho do objecto de utilizador.
• Os utilizadores que iniciem sessão várias estações de trabalho detectam limitações de acordo com o número de atributos "sem ligação-valor" e o limite LDAP de 10 MB para o "Máximo LDAP receber memória intermédia."
• Acesso itinerante a credenciais falha se a definição de número máximo de credenciais itinerantes por utilizador ou a definição de tamanho máximo (em bytes) de um acesso itinerante credenciais for excedida.

Nota Este problema não ocorre quando iniciarem sessão no domínio a partir de um computador cliente baseado no Windows XP.

Quando um utilizador inicia sessão num computador baseado no Windows Vista, o winlogon processo aguarda o processo de política de grupo seja concluído antes do processo de início de sessão do Windows envia uma notificação ao Gestor de controlo de serviço que o utilizador é iniciado. Os componentes de guardado no servidor de credenciais são accionados quando o Gestor de controlo de serviços recebe a notificação de que o utilizador iniciou sessão. Em seguida, este processo sincroniza os certificados que são mantidos no Active Directory para o utilizador que está a iniciar com o arquivo de certificados associado de utilizador no computador local.

Se o redireccionamento de pastas é implementado utilizando Política de grupo e se as partilhas de destino estiverem configuradas para ser disponibilizados offline, os componentes CSC são invocados quando as definições de política de grupo são aplicadas. Neste cenário, os componentes de guardado no servidor de credencial irão não ainda ter sido accionados porque o Gestor de controlo de serviços não recebeu a notificação de que o utilizador tem sessão iniciada.

Se a cache offline estiver configurada para ser encriptado, os componentes CSC fazer uma chamada para EFS para garantir que os ficheiros em cache são encriptados.

Se os componentes de guardado no servidor de credenciais não são accionados ainda e se o utilizador não tiver um certificado adequado no arquivo de certificados pessoais no computador local, é gerado um novo pedido de certificado EFS.

Informações sobre a correcção

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentado, contacte o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft: Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Importantes as correcções do Windows Vista e Windows Server 2008 estão incluídas nos pacotes do mesmos. No entanto, apenas um destes produtos pode ser listado na página ? correcção pedido ?. Para pedir o pacote de correcção que se aplica ao Windows Vista e Windows Server 2008, seleccione apenas o produto que esteja listado na página.

Pré-requisitos

Para aplicar esta correcção num computador baseado no Windows Vista, tem de ter Windows Vista Service Pack 1 (SP1) instalado. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Não pré-requisitos são necessários para um computador baseado no Windows Server 2008.

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações de registo

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Siga estes passos:

1. Inicie o Editor de registo. Para o fazer, clique em Iniciar , escreva regedit na caixa Iniciar procura e, em seguida, prima ENTER.
2. Localize e, em seguida, com o botão direito do rato na seguinte subchave do registo:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS
3. Aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
4. Escreva NoEnroll e, em seguida, prima ENTER.
5. Clique com o botão direito do rato NoEnroll e, em seguida, clique em Modificar .
6. Na caixa dados do valor , escreva 0 x 1 e, em seguida, clique em OK .
7. Saia do Editor de registo.

Nota Depois de definir a entrada "1", a encriptação de novas entradas não será colocada na cache offline, antes da credencial guardado no servidor foi concluída.

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário no item data e hora no painel de controlo.

Notas informativas dos ficheiros do Windows Vista e Windows Server 2008

Os ficheiros .manifest e os ficheiros .mum instalados em cada ambiente são listados em separado na secção "informações sobre ficheiros adicionais para o Windows Server 2008 e para o Windows Vista". Estes ficheiros e os respectivos ficheiros associados .cat (catálogo de segurança) são essenciais para manter o estado do componente actualizado. Os ficheiros .cat são assinados com uma assinatura digital da Microsoft. Os atributos destes ficheiros de segurança não estão listados.

Para todas 86 versões do Windows Server 2008 e do Windows Vista x

Para todas x versões baseadas em 64 do Windows Server 2008 e do Windows Vista

Para todas as versões baseadas em IA-64 do Windows Server 2008 suportadas

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Para obter mais informações sobre o redireccionamento de pastas e sobre ficheiros offline, visite os seguintes Web sites da Microsoft:Para obter mais informações sobre acesso itinerante a credenciais, visite os seguintes Web sites da Microsoft:Para obter mais informações sobre a terminologia de actualização de software, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Informações sobre ficheiros adicionais para o Windows Server 2008 e para o Windows Vista

Ficheiros adicionais para todas as suportadas 86 versões do Windows Server 2008 e do Windows Vista x

Ficheiros adicionais para todas as suportadas x versões baseadas em 64 do Windows Server 2008 e do Windows Vista

Ficheiros adicionais para todas as suportadas versões baseadas em IA-64 do Windows Server 2008