Error cuando los equipos cliente cifran un archivo en un dominio de Windows Server 2003: la directiva de recuperación configurada para este sistema contiene un certificado de recuperación no válido.

En este artículo se proporciona una solución a un error que se produce cuando los equipos cliente cifran un archivo en un dominio de Microsoft Windows Server 2003.

Se aplica a: Windows Server 2003
Número de KB original: 937536

Síntomas

Cuando un equipo cliente usa el sistema de cifrado de archivos (EFS) para cifrar un archivo almacenado en un equipo remoto en un dominio de Microsoft Windows Server 2003, puede recibir un mensaje de error en el equipo similar al siguiente:

La directiva de recuperación configurada para este sistema contiene un certificado de recuperación no válido.

Causa

Este problema se produce si la directiva de recuperación de EFS que se implementa en el equipo cliente contiene uno o varios certificados de agente de recuperación de EFS que han expirado. Los equipos cliente no pueden cifrar ningún documento nuevo hasta que esté disponible un certificado de agente de recuperación válido.

Solución

Para resolver este problema, siga estos pasos:

1. Inicie sesión en un controlador de dominio mediante la cuenta de usuario en la que desea que se ejecute el agente de recuperación de EFS.

2. Use la versión de Windows Server 2003 de la herramienta de cifrado junto con el /r modificador para crear un nuevo certificado de recuperación de archivos autofirmado y una clave privada. La herramienta de cifrado genera un nuevo certificado de recuperación de archivos públicos (un archivo .cer) y un archivo .pfx. Realice copias de estos archivos y guárdelos en una ubicación segura. Para generar el nuevo certificado de recuperación de archivos, siga estos pasos:

   1. Haga clic en Inicio, en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.

   2. En el símbolo del sistema, escriba cipher /r: file_namey presione ENTRAR.

      Nota:

      file_name representa el nombre de archivo que desea usar. Use un nombre de archivo que sea significativo para usted. No agregue una extensión al nombre de archivo. Asegúrese de que los nuevos archivos .cer y .pfx se crean en la misma carpeta.

   3. Cuando se le pida una contraseña para proteger el archivo .pfx, escriba una contraseña que recuerde fácilmente.

3. Exporte el antiguo certificado del agente de recuperación de EFS. Para ello, siga estos pasos:

   1. Inicie sesión en el controlador de dominio mediante una cuenta que tenga credenciales administrativas de dominio. Haga clic en Inicio, apunte a Programas, apunte a Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

   2. Haga clic con el botón derecho en Domain_name y, a continuación, haga clic en Propiedades.

   3. Haga clic en la pestaña directiva de grupo, haga clic en el objeto de directiva de grupo de directiva de dominio predeterminado (GPO) y, a continuación, haga clic en Editar.

   4. Expanda Configuración del equipo, configuración de Windows, configuración de seguridad, directivas de clave públicay, a continuación, haga clic en Cifrar sistema de archivos.

   5. Haga clic con el botón derecho en el certificado del agente de recuperación de EFS actual, seleccione Todas las tareas y, a continuación, haga clic en Exportar.

   6. Siga las instrucciones del Asistente para exportación de certificados para exportar el antiguo certificado del agente de recuperación de EFS.

      Nota:

      Asegúrese de exportar el certificado de agente de recuperación de EFS anterior junto con la clave privada a un archivo .cer. Mantenga el nuevo archivo .pfx del agente de recuperación de EFS y el archivo .pfx del agente de recuperación de EFS antiguo en una ubicación segura.

4. Haga clic con el botón derecho en el certificado del agente de recuperación de EFS antiguo, haga clic en Eliminary, a continuación, haga clic en Sí.

5. Inicie sesión en el controlador de dominio mediante una cuenta que tenga credenciales administrativas de dominio y, a continuación, importe el nuevo certificado del agente de recuperación de EFS. Para ello, siga estos pasos:

   1. Haga clic en Inicio, apunte a Programas, apunte a Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
   2. Haga clic con el botón derecho en Domain_name y, a continuación, haga clic en Propiedades.
   3. Haga clic en la pestaña directiva de grupo, haga clic en el GPO de directiva de dominio predeterminado y, a continuación, haga clic en Editar.
   4. Expanda Configuración del equipo, configuración de Windows, configuración de seguridad, directivas de clave públicay, a continuación, haga clic en Cifrar sistema de archivos.
   5. Haga clic con el botón derecho en la carpeta Sistema de archivos de cifrado y, a continuación, haga clic en Agregar.
   6. Haga clic en Siguiente en el Asistente para agregar agente de recuperación y, a continuación, haga clic en Examinar carpetas.
   7. Importe el nuevo archivo .cer que creó en el paso 2b y, a continuación, haga clic en Abrir.

   Nota:

   Al abrir el archivo .cer, verá USER_UNKNOWN en el campo Agentes de recuperación. Se espera este mensaje. Además, recibe un mensaje de advertencia del Asistente para agregar agente de recuperación que indica que el certificado no es de confianza.

6. Importe el nuevo archivo .cer que creó en el paso 2b a la carpeta : Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities.

7. Si tiene varios controladores de dominio, escriba gpupdate /force en un símbolo del sistema para actualizar el directiva de grupo.

8. Compruebe que los equipos cliente pueden cifrar archivos correctamente.