Ошибка, когда клиентские компьютеры шифруют файл в домене Windows Server 2003: политика восстановления, настроенная для этой системы, содержит недопустимый сертификат восстановления

  • Статья

В этой статье описывается решение ошибки, возникающей при шифровании файла в домене Microsoft Windows Server 2003 клиентскими компьютерами.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 937536

Симптомы

Если клиентский компьютер использует шифрующую файловую систему (EFS) для шифрования файла, хранящегося на удаленном компьютере в домене Microsoft Windows Server 2003, на компьютере может появиться сообщение об ошибке следующего вида:

Политика восстановления, настроенная для этой системы, содержит недопустимый сертификат восстановления.

Причина

Эта проблема возникает, если политика восстановления EFS, реализованная на клиентском компьютере, содержит один или несколько сертификатов агента восстановления EFS, срок действия которых истек. Клиентские компьютеры не могут шифровать новые документы, пока не будет доступен действительный сертификат агента восстановления.

Решение

Чтобы устранить эту неполадку, выполните следующие действия:

  1. Войдите в контроллер домена, используя учетную запись пользователя, под которой требуется запустить агент восстановления EFS.

  2. Используйте версию средства шифра windows Server 2003 вместе с /r параметром, чтобы создать новый самозаверяющий сертификат восстановления файлов и закрытый ключ. Средство шифра создает новый сертификат восстановления общедоступного файла (.cer файл) и PFX-файл. Создайте копии этих файлов, а затем сохраните их в безопасном расположении. Чтобы создать новый сертификат восстановления файлов, выполните следующие действия.

    1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd и нажмите кнопку ОК.

    2. В командной строке введите cipher /r: file_nameи нажмите клавишу ВВОД.

      Примечание.

      file_name представляет имя файла, которое нужно использовать. Используйте понятное имя файла. Не добавляйте расширение в имя файла. Убедитесь, что новые .cer и PFX-файлы созданы в одной папке.

    3. Когда вам будет предложено ввести пароль для защиты PFX-файла, введите пароль, который вы легко запомните.

  3. Экспортируйте старый сертификат агента восстановления EFS. Для этого выполните следующие действия:

    1. Войдите в контроллер домена, используя учетную запись с учетными данными администратора домена. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — пользователи и компьютеры.

    2. Щелкните правой кнопкой мыши Domain_name и выберите пункт Свойства.

    3. Перейдите на вкладку групповая политика, щелкните объект групповая политика политики домена по умолчанию и нажмите кнопку Изменить.

    4. Разверните узел Конфигурация компьютера, Параметры Windows, Параметры безопасности, Политики открытых ключей, а затем щелкните Шифровать файловую систему.

    5. Щелкните правой кнопкой мыши текущий сертификат агента восстановления EFS, наведите указатель на пункт Все задачи и выберите пункт Экспорт.

    6. Следуйте инструкциям в мастере экспорта сертификатов, чтобы экспортировать старый сертификат агента восстановления EFS.

      Примечание.

      Убедитесь, что вы экспортируете старый сертификат агента восстановления EFS вместе с закрытым ключом в файл .cer. Сохраните новый PFX-файл агента восстановления EFS и PFX-файл старого агента восстановления EFS в безопасном расположении.

  4. Щелкните правой кнопкой мыши старый сертификат агента восстановления EFS, выберите команду Удалить и нажмите кнопку Да.

  5. Войдите в контроллер домена, используя учетную запись с учетными данными администратора домена, а затем импортируйте новый сертификат агента восстановления EFS. Для этого выполните следующие действия:

    1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — пользователи и компьютеры.
    2. Щелкните правой кнопкой мыши Domain_name и выберите пункт Свойства.
    3. Откройте вкладку групповая политика, щелкните объект групповой политики домена по умолчанию и нажмите кнопку Изменить.
    4. Разверните узел Конфигурация компьютера, Параметры Windows, Параметры безопасности, Политики открытых ключей, а затем щелкните Шифровать файловую систему.
    5. Щелкните правой кнопкой мыши папку Шифрующая файловая система и выберите команду Добавить.
    6. Нажмите кнопку Далее в мастере добавления агента восстановления и нажмите кнопку Обзор папок.
    7. Импортируйте новый файл .cer, созданный на шаге 2b, и нажмите кнопку Открыть.

    Примечание.

    При открытии файла .cer в поле Агенты восстановления отображается USER_UNKNOWN. Это сообщение ожидается. Кроме того, от мастера добавления агента восстановления появляется предупреждающее сообщение о том, что сертификат не является доверенным.

  6. Импортируйте новый файл .cer, созданный на шаге 2b, в папку : Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities.

  7. Если у вас несколько контроллеров домена, введите gpupdate /force в командной строке, чтобы обновить групповая политика.

  8. Убедитесь, что клиентские компьютеры могут успешно шифровать файлы.