Mensaje de error cuando los equipos cliente cifran un archivo en un dominio de Windows Server 2003: "la Directiva de recuperación configurada para este sistema contiene un certificado de recuperación no válido"

Se aplica a: Windows Servers

Síntomas


Cuando un equipo cliente usa el sistema de archivos de cifrado (EFS) para cifrar un archivo almacenado en un equipo remoto en un dominio de Microsoft Windows Server 2003, puede recibir un mensaje de error en el equipo que se asemeje a lo siguiente:
La Directiva de recuperación configurada para este sistema contiene un certificado de recuperación no válido.

Causa


Este problema se produce si la Directiva de recuperación de EFS que se implementa en el equipo cliente contiene uno o varios certificados de agente de recuperación de EFS que han expirado. Los equipos cliente no pueden cifrar documentos nuevos hasta que haya disponible un certificado de agente de recuperación válido.

Solución


Para resolver este problema, siga estos pasos:
  1. Inicie sesión en un controlador de dominio con la cuenta de usuario en la que desea que se ejecute el agente de recuperación de EFS.
  2. Use la versión de Windows Server 2003 de la herramienta Cipher junto con el modificador /r para crear un nuevo certificado de recuperación de archivos autofirmados y una clave privada. La herramienta de cifrado genera un nuevo certificado de recuperación de archivos públicos (un archivo. cer) y un archivo. pfx. Haga copias de estos archivos y, a continuación, guárdelos en un lugar seguro. Para generar el nuevo certificado de recuperación de archivos, siga estos pasos:
    1. Haga clic en Inicio y en Ejecutar, escriba cmd y, por último, haga clic en Aceptar.
    2. En el símbolo del sistema, escriba Cipher/r:file_namey presione Entrar.Nota file_name representa el nombre de archivo que desea usar. Use un nombre de archivo que le resulte útil. No agregue una extensión al nombre de archivo. Asegúrese de que los nuevos archivos. cer y. pfx se crean en la misma carpeta.
    3. Cuando se le pida una contraseña para proteger el archivo. pfx, escriba una contraseña que pueda recordar fácilmente.
  3. Exporte el antiguo certificado del agente de recuperación de EFS. Para ello, siga estos pasos:
    1. Inicie sesión en el controlador de dominio con una cuenta que tenga credenciales administrativas de dominio. Haga clic en Inicio, seleccione programas, seleccione herramientas administrativasy, A continuación, haga clic en unDirectorio de ctive usuarios y equipos.
    2. Haga clic con el botón secundario en Domain_namey después haga clic en propiedades.
    3. Haga clic en la pestaña Directiva de grupo , haga clic en el objeto de directiva de grupo (GPO) Directiva de dominio predeterminada y luego haga clic en Editar.
    4. Expanda configuración del equipo, configuración de Windows, configuración de seguridad, directivas de claves públicasy, a continuación, haga clic en sistema de archivos de cifrado.
    5. Haga clic con el botón secundario en el certificado actual del agente de recuperación de EFS, seleccione todas las tareasy haga clic en exportar.
    6. Siga las instrucciones del Asistente para exportación de certificados para exportar el antiguo certificado del agente de recuperación de EFS.Nota Asegúrese de exportar el antiguo certificado del agente de recuperación de EFS junto con la clave privada a un archivo. cer. Mantenga el nuevo archivo. pfx del agente de recuperación de EFS y el antiguo archivo. pfx del agente de recuperación de EFS en un lugar seguro.
  4. Haga clic con el botón secundario en el antiguo certificado del agente de recuperación EFS, haga clic en eliminary luego en .
  5. Inicie sesión en el controlador de dominio con una cuenta que tenga credenciales administrativas de dominio y, a continuación, importe el nuevo certificado del agente de recuperación de EFS. Para ello, siga estos pasos:
    1. Haga clic en Inicio, seleccione programas, seleccione herramientas administrativasy, a continuación, haga clic en usuarios y equipos de ActiveDirectory.
    2. Haga clic con el botón secundario en Domain_namey después haga clic en propiedades.
    3. Haga clic en la pestaña Directiva de grupo , haga clic en el GPO Directiva de dominio predeterminada y, después, haga clic en Editar.
    4. Expanda configuración del equipo, configuración de Windows, configuración de seguridad, directivas de claves públicasy, a continuación, haga clic en sistema de archivos de cifrado.
    5. Haga clic con el botón secundario en la carpeta sistema de archivos de cifrado y haga clic en Agregar.
    6. Haga clic en siguiente en el asistente agregar agente de recuperación y, a continuación, haga clic en examinar carpetas.
    7. Importe el nuevo archivo. cer que creó en el paso 2B y, a continuación, haga clic en abrir.
    Nota Al abrir el archivo. cer, verá USER_UNKNOWN en el campo agentes de recuperación. Este mensaje es el esperado. Además, recibe un mensaje de advertencia del Asistente para agregar agente de recuperación en el que el certificado no es de confianza.
  6. Importe el nuevo archivo. cer que creó en el paso 2B a la siguiente carpeta:
    Equipo \ configuración de seguridad\Directivas Settings\Public clave Policies\Trusted entidades emisoras de certificados raíz
  7. Si tiene varios controladores de dominio, escriba gpupdate/force en un símbolo del sistema para actualizar la Directiva de grupo.
  8. Verifique que los equipos cliente puedan cifrar archivos correctamente.