Komunikat o błędzie wyświetlany, gdy komputery klienckie szyfrują plik w domenie systemu Windows Server 2003: "zasady odzyskiwania skonfigurowane dla tego systemu zawierają nieprawidłowy certyfikat odzyskiwania"

Dotyczy: Windows Servers

Symptomy


Gdy komputer kliencki używa systemu szyfrowania plików (EFS, Encrypting File System) do szyfrowania pliku przechowywanego na komputerze zdalnym w domenie systemu Microsoft Windows Server 2003, na komputerze może zostać wyświetlony komunikat o błędzie podobny do następującego:
Zasady odzyskiwania skonfigurowane dla tego systemu zawierają nieprawidłowy certyfikat odzyskiwania.

Przyczyna


Ten problem występuje, jeśli zasady odzyskiwania EFS zaimplementowane na komputerze klienckim zawierają jeden lub więcej certyfikatów agentów odzyskiwania systemu EFS, które wygasły. Komputery klienckie nie mogą szyfrować żadnych nowych dokumentów, dopóki nie będzie dostępny prawidłowy certyfikat agenta odzyskiwania.

Rozwiązanie


Aby rozwiązać ten problem, wykonaj następujące czynności:
  1. Zaloguj się do kontrolera domeny przy użyciu konta użytkownika, pod którym ma być uruchomiony agent odzyskiwania EFS.
  2. Użyj wersji Windows Server 2003 narzędzia Cipher wraz z przełącznikiem /r , aby utworzyć nowy certyfikat odzyskiwania plików i klucz prywatny. Narzędzie cipher generuje nowy publiczny certyfikat odzyskiwania plików (plik CER) i plik PFX. Utwórz kopie tych plików, a następnie Zapisz je w bezpiecznym miejscu. Aby wygenerować nowy certyfikat odzyskiwania plików, wykonaj następujące czynności:
    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg cmd, a następnie kliknij przycisk OK.
    2. W wierszu polecenia wpisz cipher/r:file_name, a następnie naciśnij klawisz ENTER.Uwaga file_name odpowiada nazwie pliku, którego chcesz użyć. Użyj nazwy pliku, która ma znaczenie. Nie dodawaj rozszerzenia do nazwy pliku. Upewnij się, że nowe pliki CER i PFX są tworzone w tym samym folderze.
    3. Gdy zostanie wyświetlony monit o podanie hasła w celu ochrony pliku PFX, wpisz hasło, które będzie łatwe do zapamiętania.
  3. Eksportowanie starego certyfikatu agenta odzyskiwania EFS. W tym celu wykonaj następujące czynności:
    1. Zaloguj się do kontrolera domeny przy użyciu konta z poświadczeniami administracyjnymi domeny. Kliknij przycisk Start, wskaż pozycję programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycjęUżytkownicy i komputery usługi ctive.
    2. Kliknij prawym przyciskiem myszy pozycję Domain_name, a następnie kliknij polecenie Właściwości.
    3. Kliknij kartę zasady grupy , kliknij domyślny obiekt zasad grupy zasad domeny , a następnie kliknij pozycję Edytuj.
    4. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń pozycję Zasady kluczy publicznych, a następnie kliknij pozycję System szyfrowania plików.
    5. Kliknij prawym przyciskiem myszy bieżący certyfikat agenta odzyskiwania EFS, wskaż polecenie wszystkie zadania, a następnie kliknij polecenie Eksportuj.
    6. Postępuj zgodnie z instrukcjami Kreatora eksportu certyfikatów, aby wyeksportować stary certyfikat agenta odzyskiwania EFS.Uwaga Upewnij się, że stary certyfikat agenta odzyskiwania EFS został wyeksportowany wraz z kluczem prywatnym do pliku CER. Zachowaj nowy plik PFX agenta odzyskiwania EFS i stary plik PFX agenta odzyskiwania EFS w bezpiecznym miejscu.
  4. Kliknij prawym przyciskiem myszy stary certyfikat agenta odzyskiwania EFS, kliknij pozycję Usuń, a następnie kliknij przycisk tak.
  5. Zaloguj się do kontrolera domeny przy użyciu konta, które ma poświadczenia administracyjne domeny, a następnie zaimportuj nowy certyfikat agenta odzyskiwania EFS. W tym celu wykonaj następujące czynności:
    1. Kliknij przycisk Start, wskaż pozycję programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Użytkownicy i komputery usługi Active Directory.
    2. Kliknij prawym przyciskiem myszy pozycję Domain_name, a następnie kliknij polecenie Właściwości.
    3. Kliknij kartę zasady grupy , kliknij obiekt GPO Domyślna zasada domeny , a następnie kliknij pozycję Edytuj.
    4. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń pozycję Zasady kluczy publicznych, a następnie kliknij pozycję System szyfrowania plików.
    5. Kliknij prawym przyciskiem myszy folder System szyfrowania plików , a następnie kliknij polecenie Dodaj.
    6. Kliknij przycisk dalej w Kreatorze dodawania agenta odzyskiwania, a następnie kliknij pozycję Przeglądaj foldery.
    7. Zaimportuj nowy plik CER utworzony w kroku 2b, a następnie kliknij pozycję Otwórz.
    Uwaga Po otwarciu pliku CER widoczny jest USER_UNKNOWN w polu Agenci odzyskiwania. Ta wiadomość jest oczekiwana. Ponadto jest wyświetlany komunikat ostrzegawczy od Kreatora dodawania agenta odzyskiwania, którego certyfikat nie jest zaufany.
  6. Zaimportuj nowy plik CER utworzony w kroku 2b do następującego folderu:
    Komputer Komputera\ustawienia systemu Windows\Ustawienia zabezpieczeń Settings\Public Key Policies\Trusted główne urzędy certyfikacji
  7. Jeśli masz wiele kontrolerów domeny, wpisz polecenie gpupdate/force w wierszu polecenia, aby zaktualizować zasady grupy.
  8. Sprawdź, czy komputery klienckie mogą pomyślnie szyfrować pliki.