Μήνυμα σφάλματος όταν οι υπολογιστές-πελάτες κρυπτογραφούν ένα αρχείο σε έναν τομέα Windows Server 2003: "η πολιτική αποκατάστασης που έχει ρυθμιστεί για αυτό το σύστημα περιέχει μη έγκυρο πιστοποιητικό ανάκτησης"

Ισχύει για: Windows Servers

Συμπτώματα


Όταν ένας υπολογιστής-πελάτης χρησιμοποιεί το σύστημα αρχείων κρυπτογράφησης (EFS) για να κρυπτογραφήσει ένα αρχείο που είναι αποθηκευμένο σε έναν απομακρυσμένο υπολογιστή σε έναν τομέα του Microsoft Windows Server 2003, ενδέχεται να λάβετε ένα μήνυμα σφάλματος στον υπολογιστή που μοιάζει με το εξής:
Η πολιτική αποκατάστασης που έχει ρυθμιστεί για αυτό το σύστημα περιέχει μη έγκυρο πιστοποιητικό αποκατάστασης.

Αιτία


Αυτό το πρόβλημα παρουσιάζεται εάν η πολιτική αποκατάστασης EFS που υλοποιείται στον υπολογιστή-πελάτη περιέχει ένα ή περισσότερα πιστοποιητικά παράγοντα αποκατάστασης EFS που έχουν λήξει. Οι υπολογιστές-πελάτες δεν μπορούν να κρυπτογραφήσουν τυχόν νέα έγγραφα μέχρι να είναι διαθέσιμο ένα έγκυρο πιστοποιητικό παράγοντα αποκατάστασης.

Επίλυση


Για να επιλύσετε αυτό το πρόβλημα, ακολουθήστε τα παρακάτω βήματα:
  1. Συνδεθείτε σε έναν ελεγκτή τομέα χρησιμοποιώντας το λογαριασμό χρήστη με τον οποίο θέλετε να εκτελεστεί ο παράγοντας αποκατάστασης EFS.
  2. Χρησιμοποιήστε την έκδοση Windows Server 2003 του εργαλείου κρυπτογράφησης μαζί με το διακόπτη /r για να δημιουργήσετε ένα νέο πιστοποιητικό αυτόματης υπογραφής αρχείου και ένα ιδιωτικό κλειδί. Το εργαλείο κρυπτογράφησης δημιουργεί ένα νέο πιστοποιητικό αποκατάστασης δημόσιου αρχείου (αρχείο. CER) και ένα αρχείο. pfx. Δημιουργήστε αντίγραφα αυτών των αρχείων και, στη συνέχεια, αποθηκεύστε τα σε μια ασφαλή θέση. Για να δημιουργήσετε το νέο πιστοποιητικό ανάκτησης αρχείου, ακολουθήστε τα παρακάτω βήματα:
    1. Κάντε κλικ στην επιλογή Έναρξη, επιλέξτε εκτέλεση, πληκτρολογήστε cmdκαι, στη συνέχεια, κάντε κλικ στο κουμπί OK.
    2. Στη γραμμή εντολών, πληκτρολογήστε cipher/r:file_nameκαι, στη συνέχεια, πατήστε το πλήκτρο ENTER.Σημείωση file_name αντιπροσωπεύει το όνομα αρχείου που θέλετε να χρησιμοποιήσετε. Χρησιμοποιήστε ένα όνομα αρχείου που έχει νόημα για εσάς. Μην προσθέσετε μια επέκταση στο όνομα του αρχείου. Βεβαιωθείτε ότι τα νέα αρχεία. cer και. pfx δημιουργούνται στον ίδιο φάκελο.
    3. Όταν σας ζητηθεί κωδικός πρόσβασης για την προστασία του αρχείου. pfx, πληκτρολογήστε έναν κωδικό πρόσβασης που θα θυμάστε εύκολα.
  3. Εξαγάγετε το παλιό πιστοποιητικό παράγοντα αποκατάστασης EFS. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Συνδεθείτε στον ελεγκτή τομέα χρησιμοποιώντας ένα λογαριασμό που έχει διαπιστευτήρια διαχειριστή τομέα. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε προγράμματα, επιλέξτε Εργαλεία διαχείρισηςκαι, στη συνέχεια, κάντε κλικ σε ένανκατάλογο χρηστών και υπολογιστών του ραστικές.
    2. Κάντε δεξί κλικ Domain_nameκαι, στη συνέχεια, κάντε κλικ στην επιλογή Ιδιότητες.
    3. Κάντε κλικ στην καρτέλα πολιτική ομάδας , κάντε κλικ στο προεπιλεγμένο αντικείμενο πολιτικής ομάδας ΠΟΛΙΤΙΚΉς τομέα (GPO) και, στη συνέχεια, κάντε κλικ στην επιλογή Επεξεργασία.
    4. Αναπτύξτε το στοιχείο Ρύθμιση παραμέτρων υπολογιστή, αναπτύξτε τις ρυθμίσεις των Windows, αναπτύξτε το στοιχείο ρυθμίσεις ασφαλείας, αναπτύξτε το στοιχείο Πολιτικές δημόσιου κλειδιούκαι, στη συνέχεια, κάντε κλικ στην επιλογή σύστημα κρυπτογράφησης αρχείων.
    5. Κάντε δεξί κλικ στο τρέχον πιστοποιητικό παράγοντα αποκατάστασης EFS, επιλέξτε όλες οι εργασίεςκαι, στη συνέχεια, κάντε κλικ στην επιλογή εξαγωγή.
    6. Ακολουθήστε τις οδηγίες στον Οδηγό εξαγωγής πιστοποιητικού για να εξαγάγετε το παλιό πιστοποιητικό παράγοντα αποκατάστασης EFS.Σημείωση Βεβαιωθείτε ότι έχετε εξαγάγει το παλιό πιστοποιητικό παράγοντα αποκατάστασης EFS μαζί με το ιδιωτικό κλειδί σε ένα αρχείο. cer. Διατηρήστε το νέο αρχείο. pfx του παράγοντα αποκατάστασης EFS και το παλιό αρχείο. pfx του παράγοντα αποκατάστασης EFS σε ασφαλή θέση.
  4. Κάντε δεξί κλικ στο παλιό πιστοποιητικό παράγοντα αποκατάστασης EFS, κάντε κλικ στην επιλογή Διαγραφήκαι, στη συνέχεια, κάντε κλικ στην επιλογή Ναι.
  5. Συνδεθείτε στον ελεγκτή τομέα χρησιμοποιώντας ένα λογαριασμό που έχει διαπιστευτήρια διαχειριστή τομέα και, στη συνέχεια, εισαγάγετε το νέο πιστοποιητικό παράγοντα αποκατάστασης EFS. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε προγράμματα, επιλέξτε Εργαλεία διαχείρισηςκαι, στη συνέχεια, κάντε κλικ στην επιλογή χρήστες και υπολογιστές της υπηρεσίας καταλόγου Active Directory.
    2. Κάντε δεξί κλικ Domain_nameκαι, στη συνέχεια, κάντε κλικ στην επιλογή Ιδιότητες.
    3. Κάντε κλικ στην καρτέλα πολιτική ομάδας , κάντε κλικ στο προεπιλεγμένο GPO πολιτικής τομέα και, στη συνέχεια, κάντε κλικ στην επιλογή Επεξεργασία.
    4. Αναπτύξτε το στοιχείο Ρύθμιση παραμέτρων υπολογιστή, αναπτύξτε τις ρυθμίσεις των Windows, αναπτύξτε το στοιχείο ρυθμίσεις ασφαλείας, αναπτύξτε το στοιχείο Πολιτικές δημόσιου κλειδιούκαι, στη συνέχεια, κάντε κλικ στην επιλογή σύστημα κρυπτογράφησης αρχείων.
    5. Κάντε δεξί κλικ στο φάκελο συστήματος αρχείων κρυπτογράφησης και, στη συνέχεια, κάντε κλικ στην επιλογή Προσθήκη.
    6. Κάντε κλικ στην επιλογή Επόμενο στον Οδηγό προσθήκης παράγοντα αποκατάστασης και, στη συνέχεια, κάντε κλικ στην επιλογή αναζήτηση φακέλων.
    7. Εισαγάγετε το νέο αρχείο. cer που δημιουργήσατε στο βήμα 2β και, στη συνέχεια, κάντε κλικ στην επιλογή Άνοιγμα.
    Σημείωση Όταν ανοίγετε το αρχείο. cer, βλέπετε USER_UNKNOWN στο πεδίο παράγοντες αποκατάστασης. Αυτό το μήνυμα είναι αναμενόμενο. Επίσης, λαμβάνετε ένα προειδοποιητικό μήνυμα από τον Οδηγό προσθήκης παράγοντα αποκατάστασης ότι το πιστοποιητικό δεν είναι αξιόπιστο.
  6. Εισαγάγετε το νέο αρχείο. cer που δημιουργήσατε στο βήμα 2β στον ακόλουθο φάκελο:
    Computer ρυθμίσεις Settings\Security Settings\Public Key Policies\Trusted αρχές έκδοσης πιστοποιητικών ρίζας
  7. Εάν έχετε πολλούς ελεγκτές τομέα, πληκτρολογήστε gpupdate/force σε μια γραμμή εντολών για να ενημερώσετε την πολιτική ομάδας.
  8. Βεβαιωθείτε ότι οι υπολογιστές-πελάτες μπορούν να κρυπτογραφήσουν με επιτυχία αρχεία.