次の方法で共有

クライアント コンピューターが Windows Server 2003 ドメイン内のファイルを暗号化する場合のエラー: このシステム用に構成された回復ポリシーに無効な回復証明書が含まれています

この記事では、クライアント コンピューターが Microsoft Windows Server 2003 ドメイン内のファイルを暗号化するときに発生するエラーの解決策を示します。

適用対象: Windows Server 2003
元の KB 番号: 937536

現象

クライアント コンピューターで暗号化ファイル システム (EFS) を使用して、Microsoft Windows Server 2003 ドメインのリモート コンピューターに格納されているファイルを暗号化すると、次のようなエラー メッセージがコンピューターに表示されることがあります。

このシステム用に構成された回復ポリシーに無効な回復証明書が含まれています。

原因

この問題は、クライアント コンピューターに実装されている EFS 回復ポリシーに、有効期限が切れた 1 つ以上の EFS 回復エージェント証明書が含まれている場合に発生します。 有効な回復エージェント証明書が使用可能になるまで、クライアント コンピューターは新しいドキュメントを暗号化できません。

解決方法

この問題を解決するには、次の手順に従ってください。

  1. EFS 回復エージェントを実行するユーザー アカウントを使用して、ドメイン コントローラーにログオンします。

  2. Windows Server 2003 バージョンの暗号ツールを /r スイッチと共に使用して、新しい自己署名ファイル回復証明書と秘密キーを作成します。 暗号ツールは、新しいパブリック ファイル回復証明書 (.cer ファイル) と .pfx ファイルを生成します。 これらのファイルのコピーを作成し、安全な場所に保存します。 新しいファイル回復証明書を生成するには、次の手順に従います。

    1. [スタート]ボタン、 [ファイル名を指定して実行]の順にクリックし、「 cmd」と入力して、 [OK]をクリックします。

    2. コマンド プロンプトで、「 cipher /r: file_name」と入力し、Enter キーを押します。

      Note

      file_name は、使用するファイル名を表します。 わかりやすいファイル名を使用します。 ファイル名に拡張子を追加しないでください。 新しい.cerファイルと .pfx ファイルが同じフォルダーに作成されていることを確認します。

    3. .pfx ファイルを保護するためのパスワードの入力を求められたら、覚えやすいパスワードを入力します。

  3. 古い EFS 回復エージェント証明書をエクスポートします。 これを行うには、次の手順を実行します。

    1. ドメイン管理者の資格情報を持つアカウントを使用して、ドメイン コントローラーにログオンします。 [スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] をクリックします。

    2. Domain_nameを右クリックし、Properties をクリックします。

    3. [ グループ ポリシー ] タブをクリックし、[ 既定のドメイン ポリシー グループ ポリシー オブジェクト (GPO) をクリックし、 Edit をクリックします。

    4. Computer の構成を展開し、Windows の設定を展開セキュリティ設定を展開し、パブリック キー ポリシーを展開し、ファイル システムの暗号化] をクリックします

    5. 現在の EFS 回復エージェント証明書を右クリックし、 [すべてのタスク]をポイントして、[ Export] をクリックします。

    6. 証明書のエクスポート ウィザードの指示に従って、古い EFS 回復エージェント証明書をエクスポートします。

      Note

      古い EFS 回復エージェント証明書と秘密キーを.cer ファイルにエクスポートしていることを確認します。 新しい EFS 回復エージェントの .pfx ファイルと古い EFS 回復エージェントの .pfx ファイルを安全な場所に保管します。

  4. 古い EFS 回復エージェント証明書を右クリックし、[ 削除] をクリックし、[ Yes] をクリックします。

  5. ドメイン管理者の資格情報を持つアカウントを使用してドメイン コントローラーにログオンし、新しい EFS 回復エージェント証明書をインポートします。 これを行うには、次の手順を実行します。

    1. [スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] をクリックします。
    2. Domain_nameを右クリックし、[プロパティの] をクリック
    3. [ グループ ポリシー ] タブをクリックし、[ 既定のドメイン ポリシー GPO] をクリックし、[編集 ] をクリック
    4. Computer の構成を展開し、Windows 設定を展開し、セキュリティ設定を展開 を展開し、ファイル システムを暗号化する] をクリックします。
    5. Encrypting ファイル システム フォルダーを右クリックし、[ 追加] をクリック
    6. 回復エージェントの追加ウィザードの [次へ ] をクリックし 、[フォルダーの をクリックします
    7. 手順 2b で作成した新しい.cer ファイルをインポートし、[ 開く] をクリック

    Note

    .cer ファイルを開くと、[回復エージェント] フィールドにUSER_UNKNOWNが表示されます。 これは想定されるメッセーです。 また、回復エージェントの追加ウィザードから、証明書が信頼されていないことを示す警告メッセージが表示されます。

  6. 手順 2b で作成した新しい.cer ファイルをフォルダー ( Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities) にインポートします。

  7. 複数のドメイン コントローラーがある場合は、コマンド プロンプトで「 gpupdate /force 」と入力してグループ ポリシーを更新します。

  8. クライアント コンピューターがファイルを正常に暗号化できることを確認します。