Verschlüsseln einer Datei in einer Windows Server 2003-Domäne Clientcomputer Fehlermeldung: "Die Wiederherstellungsrichtlinie für diesen Computer ungültiges Wiederherstellungszertifikat enthält"

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 937536
Problembeschreibung
Wenn ein Clientcomputer Encrypting File System (EFS) zum Verschlüsseln einer Datei, die auf einem Remotecomputer in einer Microsoft Windows Server 2003-Domäne befindet verwendet, erhalten Sie eine Fehlermeldung auf dem Computer, die der folgenden ähnelt:
Die Wiederherstellungsrichtlinie für diesen Computer enthält ein ungültiges Wiederherstellungszertifikat.
Ursache
Dieses Problem tritt auf, wenn die EFS-Wiederherstellungsrichtlinie, die auf dem Client implementiert enthält ein oder mehrere EFS-Wiederherstellungsagentenzertifikate, die abgelaufen sind. Clientcomputer können keine neuen Dokumente verschlüsseln, bis ein gültiges Wiederherstellungs-Agent-Zertifikat verfügbar ist.
Lösung
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Melden Sie sich bei einem Domänencontroller mit dem Benutzerkonto, unter dem EFS-Wiederherstellungsagenten ausgeführt werden soll, an.
  2. Verwenden Sie die Windows Server 2003-Version des Hilfsprogramms Cipher zusammen mit der / r Wechseln Sie in ein neues selbstsigniertes Dateiwiederherstellungszertifikat und einem privaten Schlüssel erstellt. Cipher-Tool generiert eine neue öffentliche Dateiwiederherstellungszertifikat (CER-Datei) und eine PFX-Datei. Kopien Sie dieser Dateien und speichern Sie sie an einen sicheren Speicherort. Gehen Sie folgendermaßen vor, um neue Dateiwiederherstellungszertifikat generieren:
    1. Klicken Sie auf Startund auf Ausführen, geben cmd, und klicken Sie dann auf OK.
    2. Geben Sie an der Befehlszeile cipher/r:Dateiname, und drücken Sie dann die EINGABETASTE.

      Hinweis Dateiname Stellt den Dateinamen, den Sie verwenden möchten. Verwenden Sie ein Dateiname, den Sie. Der Dateiname keine Erweiterung hinzu. Stellen Sie sicher, dass die neuen CER- und PFX-Dateien in demselben Ordner erstellt werden.
    3. Wenn Sie ein Kennwort zum Schützen der PFX-Datei aufgefordert werden, geben Sie ein Kennwort, das Sie sich leicht merken können.
  3. Exportieren Sie das alte Zertifikat von EFS Recovery Agent. Gehen Sie hierzu folgendermaßen vor:
    1. Melden Sie sich mit einem Konto mit administrativen Anmeldeinformationen für Domänen die Domänencontroller an. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltungund klicken Sie auf Active Directory-Benutzer und-Computer.
    2. Rechte MaustasteDomänenname, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Gruppenrichtlinie , klicken Sie auf das Default Domain Policy Gruppenrichtlinien Gruppenrichtlinienobjekt (GPO), und klicken Sie dann auf Bearbeiten.
    4. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sicherheit, erweitern Sie Richtlinien öffentlicher Schlüsselund klicken Sie dann auf Verschlüsselndes Dateisystem.
    5. Maustaste auf Aktuelles EFS Recovery Agent-Zertifikat, zeigen Sie auf Alle Tasksund klicken Sie dann auf Exportieren.
    6. Führen Sie die Schritte im Zertifikatexport-Assistenten das alte EFS Recovery Agent Zertifikat exportieren.

      Hinweis Stellen Sie sicher, dass Sie das alte EFS Recovery Agent-Zertifikat mit dem privaten Schlüssel in eine CER-Datei exportieren. Halten Sie die neuen EFS-Wiederherstellungsagenten PFX-Datei und die alte EFS Recovery Agent PFX-Datei an einem sicheren Ort.
  4. Das alte Zertifikat von EFS Recovery Agent Maustaste und Klickenauf Löschen.
  5. Melden Sie sich bei dem Domänencontroller mithilfe eines Kontos mit administrativen Anmeldeinformationen für Domänen, und importieren Sie das neue EFS Recovery Agent-Zertifikat. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltungund klicken Sie dann auf Active Directory-Benutzer und-Computer.
    2. Maustaste auf Domänenname, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Gruppenrichtlinie , klicken Sie auf Gruppenrichtlinienobjekt der Standarddomänenrichtlinie und klicken Sie dann auf Bearbeiten.
    4. Erweitern Sie Computerkonfiguration, Windows-Einstellungen Sicherheitzu erweitern, erweitern Sie Richtlinien öffentlicher Schlüsselund klicken Sie dann auf Verschlüsselndes Dateisystem.
    5. Maustaste auf Verschlüsselndes Dateisystem , und klicken Sie dann auf Hinzufügen.
    6. Klicken Sie Weiter auf den Assistenten, und klicken Sie auf Ordner durchsuchen.
    7. Importieren Sie die neue CER-Datei, die Sie in Schritt 2 b erstellt und dann auf Öffnen.
    Hinweis Wenn Sie die CER-Datei öffnen, sehen Sie USER_UNKNOWN im Feld Wiederherstellungsagenten. Diese Meldung wird erwartet. Außerdem erhalten Sie eine Warnung aus dem Assistenten, dass das Zertifikat nicht vertrauenswürdig ist.
  6. Importieren Sie die neue CER-Datei, die Sie in Schritt 2 b im folgenden Ordner erstellt:
    Computer Configuration\Windows Settings\Security Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel Einstellungen\Sicherheitseinstellungen\Richtlinien für Softwareeinschränkung\Vertrauenswürdigen Stammzertifizierungsstellen
  7. Wenn Sie über mehrere Domänencontroller verfügen, geben Sie Gpupdate/force Befehlszeile der Gruppenrichtlinien aktualisiert.
  8. Stellen Sie sicher, dass Clientcomputer erfolgreich Dateien verschlüsseln können.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 937536 – Letzte Überarbeitung: 01/02/2016 04:26:00 – Revision: 4.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)

  • kberrmsg kbtshoot kbexpertiseadvanced kbprb kbmt KB937536 KbMtde
Feedback