Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für einen Fehler, der auftritt, wenn Clientcomputer eine Datei in einer Microsoft Windows Server 2003-Domäne verschlüsseln.
Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 937536
Problembeschreibung
Wenn ein Clientcomputer das Verschlüsselnde Dateisystem (Encrypting File System, EFS) verwendet, um eine Datei zu verschlüsseln, die auf einem Remotecomputer in einer Microsoft Windows Server 2003-Domäne gespeichert ist, wird möglicherweise eine Fehlermeldung auf dem Computer angezeigt, die wie folgt aussieht:
Die für dieses System konfigurierte Wiederherstellungsrichtlinie enthält ungültiges Wiederherstellungszertifikat.
Ursache
Dieses Problem tritt auf, wenn die EFS-Wiederherstellungsrichtlinie, die auf dem Clientcomputer implementiert ist, mindestens ein EFS-Wiederherstellungs-Agent-Zertifikat enthält, das abgelaufen ist. Clientcomputer können keine neuen Dokumente verschlüsseln, bis ein gültiges Wiederherstellungs-Agent-Zertifikat verfügbar ist.
Lösung
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
Melden Sie sich mit dem Benutzerkonto an einem Domänencontroller an, unter dem der EFS-Wiederherstellungs-Agent ausgeführt werden soll.
Verwenden Sie die Windows Server 2003-Version des Tools "Chiffre" zusammen mit dem
/r
Switch, um ein neues selbstsigniertes Dateiwiederherstellungszertifikat und einen privaten Schlüssel zu erstellen. Das Chiffretool generiert ein neues öffentliches Dateiwiederherstellungszertifikat (eine .cer Datei) und eine PFX-Datei. Erstellen Sie Kopien dieser Dateien, und speichern Sie sie dann an einem sicheren Speicherort. Führen Sie die folgenden Schritte aus, um das neue Dateiwiederherstellungszertifikat zu generieren:Klicken Sie auf Startund dann auf Ausführen, geben Sie cmdein, und klicken Sie anschließend auf OK.
Geben Sie
cipher /r: file_name
an der Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE.Notiz
file_name stellt den Dateinamen dar, den Sie verwenden möchten. Verwenden Sie einen Dateinamen, der für Sie aussagekräftig ist. Fügen Sie dem Dateinamen keine Erweiterung hinzu. Stellen Sie sicher, dass die neuen .cer- und PFX-Dateien im selben Ordner erstellt werden.
Wenn Sie aufgefordert werden, ein Kennwort zum Schützen der PFX-Datei einzugeben, geben Sie ein Kennwort ein, das Sie leicht merken können.
Exportieren Sie das alte EFS-Wiederherstellungs-Agent-Zertifikat. Gehen Sie dazu wie folgt vor:
Melden Sie sich mit einem Konto mit Administratoranmeldeinformationen für Domänen beim Domänencontroller an. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.
Klicken Sie mit der rechten Maustaste auf Domain_name, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte "Gruppenrichtlinie ", klicken Sie auf das Gruppenrichtlinienobjekt (GPO) der Standarddomänenrichtlinie , und klicken Sie dann auf "Bearbeiten".
Erweitern Sie die Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Richtlinien für öffentliche Schlüssel, und klicken Sie dann auf "Dateisystem verschlüsseln".
Klicken Sie mit der rechten Maustaste auf das aktuelle EFS-Wiederherstellungs-Agent-Zertifikat, zeigen Sie auf "Alle Aufgaben", und klicken Sie dann auf "Exportieren".
Befolgen Sie die Anweisungen im Zertifikatexport-Assistenten, um das alte EFS-Wiederherstellungs-Agent-Zertifikat zu exportieren.
Notiz
Stellen Sie sicher, dass Sie das alte EFS-Wiederherstellungs-Agent-Zertifikat zusammen mit dem privaten Schlüssel in eine .cer Datei exportieren. Behalten Sie die neue PFX-Datei des EFS-Wiederherstellungs-Agents und die alte PFX-Datei des EFS-Wiederherstellungs-Agents an einem sicheren Speicherort bei.
Klicken Sie mit der rechten Maustaste auf das alte EFS-Wiederherstellungs-Agent-Zertifikat, klicken Sie auf "Löschen", und klicken Sie dann auf "Ja".
Melden Sie sich bei dem Domänencontroller mit einem Konto an, das über Domänenadministratoranmeldeinformationen verfügt, und importieren Sie dann das neue EFS-Wiederherstellungs-Agent-Zertifikat. Gehen Sie dazu wie folgt vor:
- Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.
- Klicken Sie mit der rechten Maustaste auf Domain_name, und klicken Sie dann auf "Eigenschaften".
- Klicken Sie auf die Registerkarte "Gruppenrichtlinie", klicken Sie auf das Gruppenrichtlinienrichtlinienobjekt "Standarddomänenrichtlinien" und dann auf "Bearbeiten".
- Erweitern Sie "Computerkonfiguration", erweitern Sie "Windows-Einstellungen", erweitern Sie "Sicherheitseinstellungen", erweitern Sie "Richtlinien für öffentliche Schlüssel", und klicken Sie dann auf "Dateisystem verschlüsseln".
- Klicken Sie mit der rechten Maustaste auf den Ordner "Verschlüsselndes Dateisystem" , und klicken Sie dann auf "Hinzufügen".
- Klicken Sie im Assistenten "Wiederherstellungs-Agent hinzufügen" auf "Weiter ", und klicken Sie dann auf "Ordner durchsuchen".
- Importieren Sie die neue .cer Datei, die Sie in Schritt 2b erstellt haben, und klicken Sie dann auf " Öffnen".
Notiz
Wenn Sie die .cer Datei öffnen, wird im Feld "Wiederherstellungs-Agents" USER_UNKNOWN angezeigt. Diese Nachricht ist erwartet. Außerdem erhalten Sie eine Warnmeldung des Assistenten zum Hinzufügen von Wiederherstellungs-Agent, dass das Zertifikat nicht vertrauenswürdig ist.
Importieren Sie die neue .cer Datei, die Sie in Schritt 2b erstellt haben, in den Ordner:
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities
.Wenn Sie über mehrere Domänencontroller verfügen, geben
gpupdate /force
Sie an einer Eingabeaufforderung ein, um die Gruppenrichtlinie zu aktualisieren.Stellen Sie sicher, dass Clientcomputer Dateien erfolgreich verschlüsseln können.