當用戶端電腦在 Windows Server 2003 網域中加密檔案時,出現錯誤訊息:「針對此系統設定的復原原則包含不正確復原憑證」

適用於: Windows Servers

徵狀


當用戶端電腦使用加密檔案系統(EFS)來加密儲存在 Microsoft Windows Server 2003 網域的遠端電腦上的檔案時,您可能會在電腦上收到如下所示的錯誤訊息:
針對此系統設定的恢復原則包含不正確復原憑證。

原因


如果在用戶端電腦上執行的 EFS 損毀修復原則包含一或多個已過期的 EFS 復原代理程式憑證,就會發生此問題。 除非有有效的復原代理程式憑證,否則用戶端電腦無法加密任何新檔。

解決方案


如果要解決這個問題,請依照下列步驟執行。
  1. 使用您想要讓 EFS 復原代理程式執行的使用者帳戶,登入網網域控制站。
  2. 搭配使用 Windows Server 2003 版本的密碼工具與 /r 開關,即可建立新的自我簽署檔案恢復憑證和私密金鑰。 密碼工具會產生新的公用檔案恢復憑證(.cer 檔案)和 .pfx 檔案。 複製這些檔案,然後將它們儲存至安全的位置。 若要產生新的檔案恢復憑證,請遵循下列步驟:
    1. 按一下 [開始],再按一下 [執行],輸入 cmd,然後按一下 [確定]
    2. 在命令提示字元中,輸入 cipher/r:file_name,然後按 enter 鍵。注意file_name代表您想要使用的檔案名。 使用對您有意義的檔案名。 請勿在檔案名中加上副檔名。 確定在相同的資料夾中建立新的 .cer 和 .pfx 檔案。
    3. 當系統提示您輸入密碼來保護 .pfx 檔案時,請輸入您容易記住的密碼。
  3. 匯出舊的 EFS 復原代理憑證。 若要執行這項操作,請依照下列步驟執行:
    1. 使用具有網域系統管理認證的帳戶登入網網域控制站。 按一下 [ 開始],指向 [ 程式],指向 [系統 管理工具],然後按一下ctive 目錄的使用者和電腦
    2. 以滑鼠右鍵按一下 [ Domain_name],然後按一下 [ 屬性]。
    3. 按一下 [ 群組原則 ] 索引標籤,按一下 [ 預設網域原則 組原則物件(GPO)],然後按一下 [ 編輯]。
    4. 展開 [ 電腦設定],展開 [ Windows 設定],展開 [ 安全性設定],再展開 [ 公開金鑰原則],然後按一下 [ 加密檔案系統]。
    5. 以滑鼠右鍵按一下目前的 EFS 復原代理程式憑證,指向 [ 所有任務],然後按一下 [ 匯出]。
    6. 依照 [證書匯出嚮導] 中的指示匯出舊的 EFS 復原代理憑證。注意: 請務必將舊的 EFS 復原代理憑證與私密金鑰一起匯出至 .cer 檔案。 將新的 EFS 復原代理程式 .pfx 檔案和舊的 EFS 復原代理程式 .pfx 檔案保留在安全的位置。
  4. 以滑鼠右鍵按一下舊版的 EFS 復原代理程式憑證,按一下 [ 刪除],然後按一下 [是]
  5. 使用具有網域系統管理認證的帳戶登入網網域控制站,然後匯入新的 EFS 復原代理憑證。 若要執行這項操作,請依照下列步驟執行:
    1. 按一下 [ 開始],指向 [ 程式],指向 [系統 管理工具],然後按一下 [ Active Directory 使用者和電腦]。
    2. 以滑鼠右鍵按一下 [ Domain_name],然後按一下 [ 屬性]。
    3. 按一下 [ 群組原則 ] 索引標籤,按一下 [ 預設網域原則 ] GPO,然後按一下 [ 編輯]。
    4. 展開 [ 電腦設定],展開 [ Windows 設定],展開 [ 安全性設定],再展開 [ 公開金鑰原則],然後按一下 [ 加密檔案系統]。
    5. 以滑鼠右鍵按一下 [ 加密檔案系統 ] 資料夾,然後按一下 [ 新增]。
    6. 按一下 [新增損毀修復代理程式] 嚮導的 [下一步 ],然後按一下 [流覽資料夾]
    7. 匯入您在步驟2b 中建立的新 .cer 檔案,然後按一下 [ 開啟]。
    注意: 當您開啟 .cer 檔案時,您會在 [修復代理程式] 欄位中看到 [USER_UNKNOWN]。 此訊息為預期。 此外,您會收到來自 [新增損毀修復代理程式] 的警告訊息,指出該憑證不受信任。
  6. 匯入您在步驟2b 中建立的新 .cer 檔案至下列資料夾:
    電腦配置 \ 安全 Settings\Public 金鑰 Policies\Trusted 根憑證授權單位
  7. 如果您有多個網網域控制站,請在命令提示字元輸入 [ gpupdate/force ],以更新群組原則。
  8. 確認用戶端電腦能成功地加密檔案。